امن سازی ssh با fail2ban

امن سازی ssh با fail2ban

امن سازی ssh
مدیریت سرور

امن سازی ssh با fail2ban

راهنمای جامع جلوگیری از حملات Brute Force

در این آموزش fail2ban، ابتدا باید با چند مفهوم پایه آشنا شویم تا روشن شود این ابزار دقیقاً چگونه از سرور محافظت می‌کند. Fail2Ban یک سرویس امنیتی مبتنی بر تحلیل لاگ است که رفتارهای مشکوک را از روی فایل‌های ثبت وقایع سیستم شناسایی می‌کند. زمانی که یک سرویس مانند SSH تلاش‌های ناموفق ورود را در لاگ‌های خود ثبت می‌کند، Fail2Ban این لاگ‌ها را بررسی کرده و اگر تعداد خطاها از حد مشخصی بیشتر شود، آدرس IP مهاجم را برای مدت معینی مسدود می‌کند. این مسدودسازی معمولاً از طریق فایروال سیستم مانند iptables، nftables یا firewalld انجام می‌شود.

مفهوم مهم دیگر در Fail2Ban چیزی به نام Jail است. Jail در واقع یک قانون حفاظتی برای یک سرویس خاص محسوب می‌شود. برای مثال، یک Jail مخصوص SSH می‌تواند مشخص کند که لاگ‌های مربوط به ورودهای ناموفق از کجا خوانده شوند، چند تلاش ناموفق مجاز باشد، IP مهاجم چه مدت مسدود بماند و بعد از شناسایی حمله چه اقدامی انجام شود. در کنار Jail، مفهومی به نام Filter وجود دارد که الگوی خطاها را از داخل لاگ‌ها تشخیص می‌دهد. Action نیز مشخص می‌کند بعد از شناسایی رفتار مشکوک چه واکنشی انجام شود؛ برای نمونه، مسدود کردن IP، ارسال ایمیل هشدار یا ثبت رویداد امنیتی.

درک پارامترهایی مانند maxretry، findtime و bantime برای استفاده درست از Fail2Ban بسیار مهم است. مقدار maxretry مشخص می‌کند چند بار تلاش ناموفق قابل قبول است. مقدار findtime بازه زمانی بررسی این تلاش‌ها را تعیین می‌کند و bantime مدت زمان مسدود ماندن IP را مشخص می‌سازد. اگر این مقادیر بیش از حد سخت‌گیرانه تنظیم شوند، ممکن است کاربران واقعی هم به اشتباه مسدود شوند. اگر هم بیش از حد آزاد باشند، ابزار نمی‌تواند جلوی حملات مداوم را به‌خوبی بگیرد.

چرا محافظت از SSH اهمیت زیادی دارد؟

SSH یکی از اصلی‌ترین راه‌های مدیریت سرورهای لینوکسی است. مدیر سرور از طریق این سرویس می‌تواند به خط فرمان سیستم دسترسی داشته باشد، تنظیمات را تغییر دهد، نرم‌افزار نصب کند و سرویس‌های مهم را مدیریت نماید. همین سطح دسترسی بالا باعث می‌شود SSH همیشه یکی از هدف‌های اصلی مهاجمان باشد. ربات‌های مخرب به‌صورت مداوم اینترنت را اسکن می‌کنند و روی پورت‌های رایج، مخصوصاً پورت 22، تلاش می‌کنند با حدس زدن نام کاربری و رمز عبور وارد سرورها شوند.

حمله Brute Force یکی از متداول‌ترین تهدیدهایی است که علیه SSH انجام می‌شود. در این روش، مهاجم با استفاده از فهرست بزرگی از رمزهای عبور یا ترکیب‌های مختلف نام کاربری و رمز، بارها و بارها تلاش می‌کند وارد سیستم شود. حتی اگر رمز عبور قوی باشد، تکرار زیاد این درخواست‌ها می‌تواند باعث مصرف منابع، شلوغ شدن لاگ‌ها و افزایش ریسک امنیتی شود. به همین دلیل، امن سازی ssh فقط به تغییر رمز عبور محدود نیست، بلکه نیازمند کنترل رفتارهای مشکوک و واکنش خودکار به تلاش‌های غیرعادی است.

نقش Fail2Ban در کاهش حملات SSH

Fail2Ban مانند یک نگهبان هوشمند در کنار سرویس SSH عمل می‌کند. این ابزار مستقیماً جایگزین تنظیمات امنیتی SSH نمی‌شود، اما یک لایه دفاعی بسیار کاربردی به سیستم اضافه می‌کند. وقتی چند تلاش ناموفق از یک IP ثبت شود، Fail2Ban آن IP را شناسایی کرده و از ادامه تلاش‌های آن جلوگیری می‌کند. این رفتار باعث می‌شود حملات خودکار، که معمولاً به هزاران تلاش پشت سر هم وابسته هستند، خیلی زود متوقف شوند.

مزیت مهم Fail2Ban این است که واکنش آن پویا و مبتنی بر رفتار واقعی مهاجم است. برخلاف فایروال‌های ساده که معمولاً قوانین ثابت دارند، Fail2Ban با خواندن لاگ‌ها تصمیم می‌گیرد. اگر یک IP رفتار عادی داشته باشد، کاری با آن ندارد؛ اما اگر همان IP در یک بازه زمانی کوتاه چندین بار ورود ناموفق ایجاد کند، به‌عنوان منبع خطر شناسایی می‌شود. این روش باعث می‌شود امنیت افزایش یابد، بدون آنکه لازم باشد دسترسی SSH برای همه کاربران محدود شود.

نصب و آماده‌سازی Fail2Ban

برای استفاده از Fail2Ban معمولاً کافی است آن را از مخازن رسمی توزیع لینوکس نصب کنید. در توزیع‌های مبتنی بر Debian و Ubuntu، این ابزار از طریق مدیر بسته سیستم قابل نصب است. پس از نصب، سرویس Fail2Ban به‌عنوان یک سرویس سیستمی اجرا می‌شود و می‌توان وضعیت آن را با ابزارهای مدیریت سرویس بررسی کرد. در توزیع‌های مبتنی بر RHEL، AlmaLinux، Rocky Linux و Fedora نیز روند نصب مشابه است، هرچند ممکن است ابتدا نیاز باشد مخزن‌های جانبی یا بسته‌های مرتبط فعال شوند.

پس از نصب، فایل‌های تنظیمات Fail2Ban معمولاً در مسیر /etc/fail2ban/ قرار دارند. فایل اصلی تنظیمات پیش‌فرض نباید مستقیماً ویرایش شود، زیرا ممکن است در به‌روزرسانی‌های بعدی بازنویسی شود. روش بهتر این است که تنظیمات اختصاصی در فایل جداگانه‌ای مانند jail.local قرار بگیرند. این کار باعث می‌شود هم ساختار تمیزتری داشته باشید و هم در آینده هنگام ارتقا یا عیب‌یابی، تغییرات شما از تنظیمات اصلی قابل تفکیک باشد.

پیکربندی Fail2Ban برای SSH

برای فعال‌سازی محافظت از SSH، باید Jail مربوط به sshd را تنظیم کنید. در این بخش مشخص می‌شود Fail2Ban کدام لاگ‌ها را بررسی کند، چند تلاش ناموفق را تحمل کند و بعد از عبور از حد مجاز چه مدت IP مهاجم را مسدود نگه دارد. برای بسیاری از سرورها، مقدار سه تا پنج تلاش ناموفق در یک بازه چند دقیقه‌ای منطقی است. با این حال، انتخاب مقدار مناسب به نوع استفاده از سرور، تعداد کاربران مجاز و سطح حساسیت سیستم بستگی دارد.

اگر سرور فقط توسط یک مدیر یا تعداد کمی کاربر قابل اعتماد مدیریت می‌شود، می‌توان تنظیمات سخت‌گیرانه‌تری اعمال کرد. اما اگر چندین کاربر از مکان‌های مختلف به سرور متصل می‌شوند، بهتر است مقدارها کمی انعطاف‌پذیرتر باشند تا کاربران واقعی به دلیل اشتباه تایپی یا فراموشی رمز عبور به‌سرعت مسدود نشوند. هدف اصلی این است که میان امنیت و دسترسی‌پذیری تعادل برقرار شود.

در این مرحله، امن سازی ssh با Fail2Ban زمانی نتیجه بهتری می‌دهد که لاگ‌گیری SSH به‌درستی فعال باشد. اگر مسیر لاگ اشتباه تنظیم شده باشد یا سرویس SSH لاگ‌های لازم را ثبت نکند، Fail2Ban نمی‌تواند تلاش‌های ناموفق را تشخیص دهد. در سیستم‌های مختلف، لاگ‌ها ممکن است در مسیرهایی مانند /var/log/auth.log یا /var/log/secure ذخیره شوند. بنابراین بررسی مسیر صحیح لاگ یکی از مهم‌ترین بخش‌های پیکربندی است.

نمونه فایل jail :

/etc/fail2ban/jail.local 
[DEFAULT]
# مدت زمان بن شدن IP
# مقدار 1h یعنی یک ساعت
bantime = 1h

# بازه زمانی بررسی تلاش‌های ناموفق
# اگر در این بازه تعداد خطاها به maxretry برسد، IP بن می‌شود
findtime = 10m

# تعداد تلاش ناموفق مجاز
maxretry = 5

# IPهایی که هرگز بن نمی‌شوند
# IP سرور، IP خودتان یا شبکه داخلی را اینجا قرار دهید
ignoreip = 127.0.0.1/8 ::1

# استفاده از systemd برای خواندن لاگ‌ها
backend = systemd

# اکشن پیش‌فرض برای بن کردن IP
banaction = iptables-multiport

# پروتکل پیش‌فرض
protocol = tcp


[sshd]
# فعال‌سازی محافظت از SSH
enabled = true

# نام سرویس SSH
filter = sshd

# پورت SSH
# اگر پورت SSH را تغییر داده‌اید، عدد جدید را اینجا بگذارید
port = ssh

# برای پورت سفارشی مثلا:
# port = 2222

# مدت زمان بن مخصوص SSH
bantime = 2h

# تعداد تلاش ناموفق مجاز برای SSH
maxretry = 4

# بازه زمانی بررسی تلاش‌ها برای SSH
findtime = 10m

# اگر backend روی systemd باشد معمولا نیازی به logpath نیست
# اما برای سیستم‌های قدیمی می‌توانید یکی از موارد زیر را فعال کنید

# برای Ubuntu و Debian:
# logpath = /var/log/auth.log

# برای CentOS، AlmaLinux، Rocky Linux:
# logpath = /var/log/secure

آیا نیاز است logpath و backend بصورت دستی تنظیم شود؟

logpath = %(sshd_log)s
backend = %(sshd_backend)s

شما میتوانید بجای ورود دستی مقادیر از مقادیر یا متغیرهای فوق استفاده کنید که بصورت پیشفرض در fail2ban تعریف شده اما الزاما درست نیستند پس بعد از مدتی باید صحت تشخیص را بررسی کنید.

این دستور به شما نشان میدهد آیا مبدا حمله بن شده یا نه :

sudo fail2ban-client status sshd

چنانچه بعد از مدتی هیچ تشخیصی نمیبینید حتما نسبت به تنظیم دستی مقادیر logpath و backend اقدام کنید هرچند که در نسخه ها و distro های رایج مثل Alma و ubuntu عموما استفاده از همان متغیرهای ذکر شده صحیح عمل میکند اما از آنجا که این موضوع مستقیما با امنیت سرور مرتبط است بهتر است از آن اطمینان حاصل کنید.

انتخاب مقادیر مناسب برای ban و retry

یکی از اشتباهات رایج در تنظیم Fail2Ban این است که مدیر سرور مقادیر را بدون توجه به شرایط واقعی انتخاب می‌کند. برای نمونه، اگر bantime بسیار کوتاه باشد، مهاجم بعد از چند دقیقه دوباره تلاش خود را آغاز می‌کند. اگر هم بیش از حد طولانی باشد، ممکن است یک کاربر واقعی به دلیل چند اشتباه ساده برای مدت زیادی از دسترسی محروم شود. مقدار مناسب باید بر اساس حساسیت سرور و الگوی استفاده انتخاب شود.

پارامتر findtime نیز نقش مهمی دارد. فرض کنید مقدار آن ده دقیقه باشد و maxretry روی پنج تنظیم شود. در این حالت اگر یک IP در مدت ده دقیقه پنج بار ورود ناموفق داشته باشد، مسدود خواهد شد. این منطق به Fail2Ban کمک می‌کند رفتارهای اتفاقی را از الگوهای مشکوک جدا کند. مهاجمی که در مدت کوتاه بارها تلاش می‌کند، معمولاً رفتاری متفاوت از کاربری دارد که یک یا دو بار رمز عبور خود را اشتباه وارد کرده است.

اهمیت کلید SSH و محدودسازی رمز عبور

Fail2Ban ابزار قدرتمندی است، اما نباید تنها لایه امنیتی سرور باشد. استفاده از کلید SSH به‌جای رمز عبور یکی از بهترین روش‌های افزایش امنیت است. وقتی ورود با رمز عبور غیرفعال شود، حملات Brute Force تا حد زیادی بی‌اثر می‌شوند، زیرا مهاجم دیگر نمی‌تواند با حدس زدن رمز وارد سیستم شود. در چنین شرایطی، Fail2Ban همچنان مفید است، چون می‌تواند تلاش‌های غیرمجاز، اسکن‌ها و خطاهای تکراری را شناسایی و محدود کند.

همچنین بهتر است ورود مستقیم کاربر root غیرفعال شود. دسترسی root یکی از جذاب‌ترین اهداف برای مهاجمان است و اگر این حساب مستقیماً از طریق SSH قابل استفاده باشد، سطح ریسک افزایش پیدا می‌کند. روش ایمن‌تر این است که یک کاربر عادی با دسترسی محدود ایجاد شود و در صورت نیاز از مکانیزم‌هایی مانند sudo برای اجرای دستورهای مدیریتی استفاده گردد. این رویکرد باعث می‌شود حتی اگر یک حساب کاربری دچار مشکل شود، مهاجم بلافاصله به سطح کامل مدیریتی دسترسی نداشته باشد.

تغییر پورت SSH؛ مفید اما کافی نیست

برخی مدیران سرور پورت پیش‌فرض SSH را از 22 به عدد دیگری تغییر می‌دهند. این کار می‌تواند حجم زیادی از اسکن‌های خودکار و تلاش‌های ساده را کاهش دهد، زیرا بسیاری از ربات‌ها ابتدا پورت‌های رایج را بررسی می‌کنند. با این حال، تغییر پورت به‌تنهایی یک راهکار امنیتی کامل نیست. مهاجم می‌تواند با اسکن دقیق‌تر پورت جدید را پیدا کند. بنابراین تغییر پورت باید فقط به‌عنوان یک اقدام تکمیلی در کنار تنظیمات قوی‌تر در نظر گرفته شود.

زمانی که پورت SSH تغییر می‌کند، باید تنظیمات Fail2Ban نیز با آن هماهنگ شود. اگر Jail مربوط به SSH همچنان پورت پیش‌فرض را بررسی کند، ممکن است قوانین فایروال دقیقاً مطابق انتظار عمل نکنند. به همین دلیل پس از هر تغییر در سرویس SSH، بررسی سازگاری تنظیمات Fail2Ban ضروری است. این هماهنگی باعث می‌شود اجرای سیاست امنیتی بدون شکاف و خطا انجام شود.

بررسی وضعیت و اطمینان از عملکرد صحیح

بعد از راه‌اندازی، لازم است وضعیت سرویس Fail2Ban بررسی شود. مدیر سرور باید مطمئن شود Jail مربوط به SSH فعال است، لاگ‌ها به‌درستی خوانده می‌شوند و IPهای مشکوک در صورت عبور از حد مجاز مسدود می‌گردند. مشاهده وضعیت Jailها و بررسی لاگ‌های Fail2Ban کمک می‌کند خطاهای احتمالی سریع‌تر شناسایی شوند. برای مثال، اگر هیچ IPای ثبت نمی‌شود، ممکن است مسیر لاگ اشتباه باشد یا الگوی Filter با فرمت لاگ سیستم سازگار نباشد.

در این بخش از آموزش fail2ban باید به این نکته توجه کرد که تست امنیتی باید با احتیاط انجام شود. اگر از IP اصلی خود چند بار ورود ناموفق ایجاد کنید، ممکن است خودتان مسدود شوید. بهتر است قبل از تست، راه جایگزینی برای ورود به سرور داشته باشید یا IP مدیریتی خود را در فهرست مجاز قرار دهید. این کار از قطع دسترسی ناخواسته جلوگیری می‌کند و امکان بررسی عملکرد ابزار را با امنیت بیشتری فراهم می‌سازد.

مدیریت IPهای مجاز و جلوگیری از قفل شدن مدیر

یکی از امکانات کاربردی Fail2Ban تعریف IPهای قابل اعتماد است. اگر مدیر سرور همیشه از یک IP ثابت وارد می‌شود، می‌توان آن IP را از مسدودسازی مستثنی کرد. این قابلیت برای جلوگیری از قفل شدن مدیر بسیار مفید است، اما باید با دقت استفاده شود. اگر IP مجاز مربوط به شبکه‌ای ناامن باشد یا چند نفر از آن استفاده کنند، ممکن است همین استثنا به نقطه ضعف تبدیل شود.

در محیط‌های سازمانی بهتر است دسترسی مدیریتی از طریق VPN یا شبکه داخلی انجام شود. در چنین حالتی، Fail2Ban همچنان روی سرور فعال می‌ماند، اما سطح تماس مستقیم SSH با اینترنت کمتر می‌شود. هرچه سرویس‌های مدیریتی کمتر در معرض اینترنت عمومی باشند، احتمال حمله نیز کاهش پیدا می‌کند. امنیت خوب معمولاً حاصل ترکیب چند لایه دفاعی است، نه تکیه بر یک ابزار واحد.

مانیتورینگ و نگهداری مداوم

پس از راه‌اندازی اولیه، کار تمام نمی‌شود. امنیت سرور نیازمند نگهداری مداوم است. لاگ‌های Fail2Ban باید هر از گاهی بررسی شوند تا الگوی حملات، تعداد IPهای مسدود شده و رفتارهای غیرعادی مشخص شود. اگر مشاهده شود که حملات از کشورهای خاص، بازه‌های مشخص یا شبکه‌های تکراری انجام می‌شوند، می‌توان سیاست‌های فایروال یا محدودیت‌های دسترسی را دقیق‌تر کرد.

به‌روزرسانی سیستم‌عامل، سرویس SSH و خود Fail2Ban نیز اهمیت زیادی دارد. آسیب‌پذیری‌های امنیتی ممکن است در نسخه‌های قدیمی باقی بمانند و مهاجمان از آن‌ها سوءاستفاده کنند. بنابراین، حتی اگر Fail2Ban به‌درستی تنظیم شده باشد، استفاده از نسخه‌های قدیمی سرویس‌ها می‌تواند ریسک امنیتی ایجاد کند. نگهداری امنیتی باید بخشی از برنامه منظم مدیریت سرور باشد.

خطاهای رایج در استفاده از Fail2Ban

یکی از خطاهای رایج، کپی کردن تنظیمات آماده بدون درک مفهوم آن‌هاست. هر سرور شرایط خاص خود را دارد و تنظیماتی که برای یک وب‌سرور عمومی مناسب است، ممکن است برای یک سرور سازمانی یا سرور توسعه مناسب نباشد. خطای دیگر، بی‌توجهی به مسیر لاگ‌هاست. اگر Fail2Ban لاگ صحیح را نخواند، عملاً نمی‌تواند رفتارهای مشکوک را تشخیص دهد.

مشکل دیگر، تنظیم بسیار سخت‌گیرانه یا بسیار ضعیف است. سخت‌گیری بیش از حد باعث مسدود شدن کاربران واقعی می‌شود و تنظیمات ضعیف مهاجم را به‌خوبی متوقف نمی‌کند. همچنین برخی مدیران بعد از فعال‌سازی اولیه دیگر وضعیت سرویس را بررسی نمی‌کنند، در حالی که تغییر در نسخه سیستم‌عامل، سرویس SSH یا ساختار لاگ‌ها ممکن است باعث اختلال در عملکرد Jail شود.

جمع‌بندی

Fail2Ban یکی از کاربردی‌ترین ابزارها برای مقابله با حملات تکراری و خودکار علیه SSH است. این ابزار با تحلیل لاگ‌ها، شناسایی تلاش‌های ناموفق و مسدود کردن IPهای مشکوک، یک لایه دفاعی مؤثر به سرور اضافه می‌کند. با این حال، بهترین نتیجه زمانی به دست می‌آید که در کنار آن از کلید SSH، غیرفعال‌سازی ورود root، تنظیم درست فایروال، به‌روزرسانی مداوم و مانیتورینگ لاگ‌ها استفاده شود.

اجرای درست امن سازی ssh به معنی ایجاد مجموعه‌ای از سیاست‌های هماهنگ است؛ سیاست‌هایی که هم دسترسی مدیران مجاز را حفظ می‌کنند و هم مسیر مهاجمان را دشوارتر می‌سازند. اگر این آموزش fail2ban را به‌عنوان نقطه شروع در نظر بگیرید و تنظیمات را مطابق نیاز واقعی سرور خود بهینه کنید، می‌توانید ریسک حملات Brute Force را به شکل قابل توجهی کاهش دهید و مدیریت امن‌تری روی سرور لینوکسی خود داشته باشید.

دیدگاه خود را اینجا بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

فیلدهای دلخواه برای نمایش را انتخاب کنید. سایر فیلدها مخفی می شود. برای ترتیب دلخواه فیلدها را به محل دلخواه بکشید و رها کنید.
  • عكس
  • شناسه محصول
  • امتیاز
  • قیمت
  • موجودی
  • موجودی
  • افزودن به سبد خرید
  • توضیحات
  • محتوا
  • وزن
  • ابعاد
  • اطلاعات تکمیلی
برای مخفی شدن نوار مقایسه، بیرون از کادر کلیک کنید
مقایسه