遠端至Linux環境並”安裝Fail2ban”阻擋惡意攻擊

2023-12-27No Comments

Windows的使用者大多都習慣使用圖形介面，而當Windows使用者要去連線使用Linux的環境時，大多都是使用文字介面做連線。而對於文字介面不熟悉的使用者也可以使用Xrdp(X windows Remote Desktop Protocol)這套的中繼程式來幫忙完成Windows遠端桌面可以直接連接Linux。而近來在對於惡意攻擊這塊除了寫死防火牆等網路路由設定外，也可以安裝Fail2ban 這個套件來輔助大家達到封鎖惡意攻擊的常用連線。

遠端桌面安裝

安裝Xrdp
Sudo apt-get update
sudo apt-get install xrdp
安裝xfce4圖形介面
sudo apt-get install xfce4 -y
設定參數避免黑屏或連線閃退等目前常遇到的問題。
新增參數在相對位置，設定檔路徑/etc/xrdp/start
export DESKTOP_SESSION=ubuntu
export XDG_CURRENT_DESKTOP=ubuntu:GNOME
export GNOME_SHELL_SESSION_MODE=ubuntu
unset DBUS_SESSION_BUS_ADDRESS
unset XDG_RUNTIME_DIR
startxfce4
新增xrdp遠端桌面使用者憑證授權存取
Sudo adduser xrdp ssl-cert
設定xrdp登入使用者桌面的預設桌面環境
echo xfce4-session > ~/.xsession
確認防火牆連線是否有開通
sudo netstat -tlnp | grep 3389
遠端登入畫面
登入xfce4桌面
還有其他桌面可以使用如：Gnome

除了使用xrdp外也可以使用如：X2GO，RDP以及VNC等的遠端軟體來實現windows可以直接遠端桌面操作Linux作業系統。當然圖形介面有圖形介面的好處優點，能夠圖形與文字介面兩者之間使用的很順暢，來因應不同的情況去做使用這樣能讓我們事半功倍！

安裝Fail2Ban

sudo apt-get install fail2ban
安裝完成後/etc/fail2ban底下會有這些檔案分別代表：
●　/etc/fail2ban/fail2ban.conf #fail2ban的配置文件
●　/etc/fail2ban/jail.conf #阻檔設定文件目錄
●　/etc/fail2ban/filter.d/ #具體過濾規則文件目錄
●　/etc/fail2ban/action.d/ #具體過濾規則檢測到後採取相對應措施的目錄
Fail2ban偵測的方式：
●　設定Jail.conf，選擇要監控的項目(或者自定義)這邊使用sshd，系統會依照Jail.conf內節點[sshd]自動去找filter.d/sshd.conf，對應到filter.d/sshd.conf，符合篩選的狀態，執行action.d內設定的動作。
●　例如：sshd的jail.conf設定檔寫banaction=iptables-mutiport，則會執行action.d/iptables.mutiport.conf；
●　例如設定action = %(action_mw)s，則會阻擋來源，並發出含有 whois報表的email通知信。
先備份Jail.conf設定檔：
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
檢查目前開啟的設定 sudo fail2ban-client status
發現有一個jail設定執行中，檢查一下是哪個檔案有啟動。
需檢查jail.d 底下的設定檔，以及jail.conf。
檢查 jail.d底下設定檔已經有一個enabled=true的設定。
Sudo vim /etc/fail2ban/jail.conf查看設定參數。
查看Jail.conf 內sshd的設定
查看目前啟動的Jail檔設定與封鎖狀態
sudo fail2ban-client status sshd
測試登入封鎖，故意輸入錯誤，第五次錯誤後立刻被封鎖
手動解除封鎖
sudo fail2ban-client unban IP
sudo fail2ban-client unban -all
封鎖設定值可以參考 /etc/fail2ban/jail.conf
●　Bantime：封鎖時間
●　Findtime：搜尋到設定
●　Ignoreip：白名單IP
別忘了把常用的連線加入白名單