Гид по технологиям

Защита от brute-force атак с помощью Brutelock

5 min read Безопасность Обновлено 18 Oct 2025
Защита от brute-force с Brutelock
Защита от brute-force с Brutelock

Что такое Brutelock

Brutelock — лёгкая open source-программа для активного мониторинга системных логов и мгновенной блокировки IP-адресов, совершающих атаки перебором (brute-force). Поддерживает SSH и другие службы (FTP, POP, IMAP) через расширяемый формат правил: указываете файл лога и регулярное выражение для поиска — Brutelock отслеживает события и реагирует.

Простая дефиниция: агент, который читает логи, ищет повторяющиеся неудачные попытки входа и добавляет злонамеренные IP в блок-лист.

Основные преимущества

  • Автоматическая блокировка IP при массовых неудачных попытках.
  • Возможность защиты любых сервисов через правила (лог + regex).
  • Небольшой ресурсный след и простая интеграция с iptables.

Требования и подготовка

  • Доступ root или эквивалент для установки и внесения правил в iptables.
  • Компилятор (make, gcc) и необходимые dev-пакеты для сборки из исходников.
  • Файл логов для монитора (например, /var/log/auth.log или системный эквивалент).

Важно: определите, где именно на вашей системе находятся логи SSH и других сервисов — пути могут отличаться (например, /var/log/auth.log, /var/log/secure или системный журнал systemd).

Установка Brutelock — пошагово

  1. Скачайте архив Brutelock и сохраните его в /usr/local/.
  2. cd /usr/local/
  3. tar -xjvf brutelock-version_number.tar.bz2
  4. cd /usr/local/brutelock-version_number
  5. ./configure
  6. make
  7. make install
  8. Отредактируйте новый конфигурационный файл /usr/local/brutelock/conf/brutelock.conf и укажите ваш subscription key (ключ подписки).
  9. Проверьте и при необходимости поправьте путь к логу SSH в конфигурации. Если не уверены в пути для вашей ОС, смотрите README в исходниках. Раскомментируйте другие службы (ftp, pop, imap) для их защиты.
  10. Добавьте IP-адреса в файл /usr/local/brutelock/conf/whitelist (каждый адрес с новой строки) для адресов, которых Brutelock никогда не должен блокировать.
  11. Добавьте отдельную цепочку в iptables:
    /sbin/iptables -N Brutelock-Firewall-INPUT
    /sbin/iptables -I INPUT -j Brutelock-Firewall-INPUT
  12. Запустите демон Brutelock:
    /usr/local/brutelock/bin/brutelockd
  13. Наблюдайте за логами — число неудачных попыток входа должно существенно снизиться.

Важно: если у вас нет subscription key, зарегистрируйтесь на сайте Brutelock. Доступна бесплатная опция, которая позволяет активно блокировать атаки, а платные подписки дают дополнительные обновления и поддержку сервиса.

Примечание: кроме localhost (127.0.0.1) обязательно укажите в whitelist IP сервера минимум для предотвращения само-блокировок.

Настройка whitelist и исключений

  • Файл whitelist: /usr/local/brutelock/conf/whitelist — перечисляйте IP по одному в строке.
  • Рекомендуется включить IP внутренних админских сетей и, при использовании облачных провайдеров, их management IP.
  • Если у вас динамические IP у администраторов — используйте отдельный механизм доверия (VPN, jump host) вместо добавления в белый список.

Проверка работы и отладка

  • Просмотр логов Brutelock (если есть собственный лог) и системных логов:

    tail -f /var/log/auth.log

    (или /var/log/secure, в зависимости от дистрибутива)

  • Проверить правила iptables:

    /sbin/iptables -L Brutelock-Firewall-INPUT -n --line-numbers

  • Проверить запущен ли демон:

    ps aux | grep brutelockd

  • Если Brutelock не блокирует ожидаемо, проверьте регулярные выражения в правилах и соответствие путей логов.

Когда Brutelock может не сработать

  • Логи не содержат ожидаемых событий (например, когда служба логирует в нестандартный канал или в удалённый syslog).
  • Атаки идут через сеть с быстрым сменой IP (botnet, прокси) — блокировка отдельных IP менее эффективна.
  • Если система использует централизованный агрегатор логов и Brutelock не настроен на чтение этих логов.

Альтернативы и комплементарные решения

  • fail2ban — широко используемая альтернатива с большим набором готовых фильтров.
  • sshguard — лёгкий инструмент для блокировки по логам.

Используйте Brutelock совместно с брандмауэром, двухфакторной аутентификацией и ограничениями доступа по ключам SSH для многослойной защиты.

Мини‑методология внедрения (быстрый план)

  1. Подготовка: проверка путей логов, резерв конфигураций.
  2. Установка и базовая настройка (whitelist, subscription key).
  3. Тестовый запуск в режиме мониторинга (не блокировать сразу, если доступна такая опция).
  4. Наблюдение 24–72 часа, корректировка правил/regex.
  5. Включение активной блокировки и интеграция с iptables.
  6. Документирование изменений и план отката.

Ролевые чек-листы

Системный администратор:

  • Убедиться в наличии root-доступа.
  • Определить местоположение логов сервисов.
  • Добавить служебные IP в whitelist.

Инженер по безопасности:

  • Проверить регулярные выражения для ложноположительных срабатываний.
  • Настроить мониторинг и оповещения о массовых блокировках.

Критерии приёмки

  • Brutelock установлен и демон запущен.
  • IP-адреса с множественными неудачными попытками добавляются в iptables-цепочку Brutelock-Firewall-INPUT.
  • Ложные срабатывания сведены к минимуму (очень редкие случаи).
  • Документация по конфигурации и откату доступна в репозитории/вики команды.

Короткий глоссарий

  • Brute-force: метод подбора пароля перебором возможных комбинаций.
  • Whitelist: список доверенных IP, которые не блокируются.
  • iptables: инструмент управления правилами брандмауэра в Linux.

Рекомендации по повышению безопасности

  • Включите двухфакторную аутентификацию для доступа в систему.
  • Отключите вход по паролю для SSH (используйте только ключи).
  • Ограничьте доступ по IP с помощью брандмауэра и VPN.
  • Ведите аудит логов и настраивайте оповещения о подозрительной активности.

Заключение

Brutelock — практичное и расширяемое решение для автоматической блокировки IP, выполняющих brute-force атаки. Для надёжной защиты используйте Brutelock в сочетании с многоуровневыми мерами безопасности: MFA, закрытие паролей, VPN и мониторинг логов. Начните с тестовой фазы, настройте whitelist и отладьте регулярные выражения, чтобы минимизировать ложноположительные срабатывания.

Краткое резюме:

  • Установите и сконфигурируйте Brutelock по шагам выше.
  • Защитите критичные IP через whitelist.
  • Проверьте работу через логи и iptables.
  • Добавьте дополнительные меры безопасности для максимальной защиты.
Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Отключить жестовый ввод на Android
Android.

Отключить жестовый ввод на Android

Исправить gdi32full.dll в Windows 10
Windows 10

Исправить gdi32full.dll в Windows 10

Как поставить кастомную фотографию профиля в Netflix
Стриминг

Как поставить кастомную фотографию профиля в Netflix

Преобразовать .img в Odin-файл для Samsung
Android.

Преобразовать .img в Odin-файл для Samsung

Как сделать видео вирусным на TikTok
Социальные сети

Как сделать видео вирусным на TikTok

Форматирование SD‑карты в FAT32 на Mac
Руководство

Форматирование SD‑карты в FAT32 на Mac