Памятка по fail2ban и клонированию Debian
Этот пост - памятка для самого себя.
Fail2Ban
Задача
Переделать "изкоробочный" Fail2ban, идущий вместе с Debian 11 на работу c "модно-молодежными" nftables и systemd-journald. По умолчанию там iptables и "auth.log".
Решение
/etc/fail2ban/jail.d/defaults-aaa.conf
[DEFAULT]
ignoreself = true
bantime = 1h
ignoreip = 1.2.3.4
banaction = nftables-multiport
banaction_allports = nftables-allports
mode = ddos
/etc/fail2ban/paths-overrides.local
[DEFAULT]
syslog_backend = systemd
sshd_backend = systemd
Примечание
Также нужно доустановить пакеты "python3-nftables" и "python3-systemd".
Клонирование
Задача
Вместо того, чтобы всякий раз инсталлировать систему "с нуля", хочется взять готовый шаблон и клонировать его N раз.
Решение
Клонировать можно любым удобным инструментом. Но по завершении необходимо помнить о том, что на "новой" ситеме требуется привести в актуальное состояние нижеследующие файлы.
- "/etc/hostname" - прописать актуальный hostname
- "/etc/hosts" - прописать актуальный IP-адрес и hostname
- "/etc/network/interfaces" (для deb-based) - прописать актуальный IP-адрес
- Удалить и сгенерировать заново хостовые SSH-ключи в "/etc/ssh/ssh_host_*".
- Удалить и сгенерировать новый machine-id в "/etc/machine-id" и в "/var/lib/dbus/machine-id" (содержимое этих двух файлов должно совпадать).
dbus-uuidgen --ensure=/etc/machine-id
rm /var/lib/dbus/machine-id
dbus-uuidgen --ensure
Примечание
UUID-ы файловых систем и разделов останутся прежними и будут совпадать с таковыми от машины-донора. В большинстве случаев это не представляет проблемы, хотя к ним иногда могут быть привязаны лицензии на какой-нибудь коммерческий софт, особенно Javaписный.