Использование Fail2Ban для защиты oVirt - Глубокое погружение

oVirt — это мощная платформа для виртуализации с открытым исходным кодом, основанная на KVM (Kernel-based Virtual Machine), предназначенная для управления виртуальными машинами (VM), хранилищами данных и сетевой инфраструктурой. Она предоставляет централизованное управление виртуализацией в корпоративных средах. Однако, как и любая другая система, oVirt подвержен рискам безопасности, и его защита имеет решающее значение для обеспечения стабильной работы.

Одним из эффективных инструментов защиты от несанкционированных попыток доступа и атак является Fail2Ban. Этот инструмент позволяет автоматизировать процесс блокировки IP-адресов, которые совершают множественные неудачные попытки входа в систему, что снижает вероятность успешных атак на сервер. В этой статье мы подробно рассмотрим использование Fail2Ban для защиты oVirt, объяснив, как его настроить и интегрировать с oVirt для усиления безопасности.

Что такое Fail2Ban?

Fail2Ban — это инструмент для мониторинга логов системы и автоматической блокировки IP-адресов, которые пытаются совершить агрессивные действия, такие как брутфорс атаки, на различные сервисы. Fail2Ban анализирует логи, например, SSH, FTP или HTTP серверов, и если находит слишком много неудачных попыток входа за короткий промежуток времени, блокирует атакующий IP на заданный промежуток времени.

Как Fail2Ban работает с oVirt?

oVirt использует несколько сервисов для управления виртуальными машинами, такими как oVirt Engine, базы данных и различные интерфейсы для взаимодействия с хостами и виртуальными машинами. Все эти сервисы могут быть мишенью для атак, если не предприняты меры по защите. Fail2Ban будет отслеживать логи сервисов, таких как Web Admin Console, API, и даже SSH, и блокировать IP-адреса, совершившие неудачные попытки доступа.

Шаг 1: Установка Fail2Ban

Для установки Fail2Ban, выполните следующие команды в зависимости от используемой операционной системы.

Для Debian/Ubuntu:

• sudo apt update — обновление списка пакетов.
• sudo apt install fail2ban — установка Fail2Ban из репозиториев.

Для CentOS/RHEL:

• sudo yum install epel-release — установка репозитория EPEL (Extra Packages for Enterprise Linux), который содержит Fail2Ban.
• sudo yum install fail2ban — установка Fail2Ban.

Шаг 2: Настройка Fail2Ban для защиты oVirt

1. Защита Web Admin Console (веб-интерфейса управления oVirt)

oVirt предоставляет доступ к управлению виртуальными машинами через веб-консоль. Чтобы защитить эту консоль, необходимо настроить Fail2Ban на блокировку IP-адресов, пытающихся несанкционированно войти через веб-интерфейс.

1. Открытие и редактирование файла конфигурации Fail2Ban (jail.local)

Откройте файл конфигурации jail.local, чтобы добавить настройки для защиты oVirt Web Admin Console.

Теперь добавьте следующую конфигурацию для защиты веб-интерфейса oVirt:

Объяснение параметров:

• enabled = true — включает работу этого джейла (правила мониторинга).
• port = http,https — порты, которые будут мониториться (HTTP и HTTPS).
• filter = ovirt-webadmin — указывает на использование фильтра для поиска строк в логах, связанных с неудачными попытками аутентификации.
• logpath = /var/log/ovirt-engine/engine.log — путь к лог-файлу oVirt, где Fail2Ban будет искать неудачные попытки входа. Важно указать правильный путь к логам вашего oVirt Engine.
• maxretry = 5 — максимальное количество неудачных попыток входа до того, как Fail2Ban заблокирует IP-адрес.
• bantime = 3600 — время блокировки IP-адреса в секундах. В данном случае 3600 секунд (1 час).
• findtime = 600 — период времени в секундах, в течение которого Fail2Ban будет отслеживать неудачные попытки входа (например, 10 минут).

2. Создание фильтра для Web Admin Console

Теперь создадим файл фильтра для Fail2Ban, чтобы настроить поиск ошибок аутентификации в логах oVirt.

Добавьте следующее содержимое в файл:

Объяснение:

• *failregex = <HOST>.Authentication failure — регулярное выражение для поиска строк, которые содержат ошибку аутентификации. <HOST> представляет собой IP-адрес, который пытался войти в систему, а текст Authentication failure будет искать записи о неудачных попытках входа.
• ignoreregex = — этот параметр пустой, так как мы не хотим игнорировать никакие строки.

2. Защита SSH-доступа

Чтобы защитить сервер от атак на SSH, мы настраиваем Fail2Ban для блокировки IP-адресов, которые совершают несколько неудачных попыток подключения через SSH.

1. Открытие и редактирование файла конфигурации Fail2Ban (jail.local)

Добавьте настройки для защиты SSH:

Добавьте следующую конфигурацию:

Объяснение параметров:

• enabled = true — включает защиту для SSH.
• port = ssh — указывает, что Fail2Ban будет мониторить стандартный порт для SSH (порт 22).
• filter = sshd — используется предустановленный фильтр Fail2Ban для SSH.
• logpath = /var/log/auth.log — путь к логам аутентификации, где Fail2Ban будет искать записи о неудачных попытках входа.
• maxretry = 3 — три неудачные попытки входа в SSH до того, как будет заблокирован IP-адрес.
• bantime = 3600 — блокировка IP-адреса на 1 час.
• findtime = 600 — период, в течение которого Fail2Ban будет отслеживать неудачные попытки входа (10 минут).

Шаг 3: Проверка и перезапуск Fail2Ban

После внесения изменений необходимо перезапустить Fail2Ban, чтобы он применил новые правила.

1. Перезапуск Fail2Ban:

2. Проверка статуса Fail2Ban:

Проверьте статус Fail2Ban, чтобы убедиться, что он работает корректно:

3. Проверка статуса конкретного джейла (например, для Web Admin Console):

Эта команда покажет текущее состояние защиты для Web Admin Console, включая информацию о заблокированных IP-адресах.

Шаг 4: Настройка оповещений

Fail2Ban может отправлять уведомления на email о заблокированных IP-адресах. Для этого в файле конфигурации jail.local можно настроить параметр action.

1. Настройка уведомлений на email:

Откройте файл конфигурации jail.local и добавьте:

Это действие заставит Fail2Ban отправлять email-уведомления о заблокированных IP с информацией о причине блокировки. Вам нужно будет настроить почтовый сервер для отправки уведомлений (например, с помощью ssmtp или postfix).

2. Пример настройки для отправки email:

Если на сервере настроена почтовая отправка, Fail2Ban будет использовать эту настройку для уведомлений. Вы также можете указать конкретные адреса электронной почты в настройках почтовой службы.

Шаг 5: Тестирование

После настройки Fail2Ban важно протестировать, что он работает как ожидается.

1. Проведение неудачных попыток входа: Попробуйте несколько раз ввести неправильный логин или пароль на Web Admin Console или через SSH и проверьте, что Fail2Ban заблокирует ваш IP.

2. Проверка заблокированных IP: Используйте команду для проверки заблокированных IP-адресов:

Эта команда покажет все заблокированные IP-адреса, которые пытались получить доступ к консоли oVirt.

Заключение

Fail2Ban — это мощный инструмент для защиты серверов, включая oVirt, от атак на основе брутфорса и других попыток несанкционированного доступа. В этой статье мы рассмотрели, как настроить Fail2Ban для защиты Web Admin Console oVirt и SSH-доступа. С правильной настройкой Fail2Ban может значительно улучшить безопасность вашего виртуализированного окружения.