Introducere

Fail2Ban este un instrument de securitate puternic conceput pentru a proteja serverele bazate pe Linux de atacurile brute-force. Acesta monitorizează fișierele jurnal pentru activități suspecte și interzice adresele IP malițioase utilizând reguli firewall. Acest ghid vă va ghida prin procesul de instalare, configurare și utilizare a Fail2Ban pe un sistem Ubuntu.

Instalarea Fail2Ban

În primul rând, actualizați lista de pachete și instalați Fail2Ban utilizând următoarele comenzi:

sudo apt update
sudo apt install fail2ban -y

Odată instalat, porniți și activați serviciul Fail2Ban:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

Сonfigurarea Fail2Ban

Fișierul de configurare implicit pentru Fail2Ban este localizat la adresa /etc/fail2ban/jail.conf. Cu toate acestea, este recomandat să creați un fișier de configurare personalizat pentru a preveni suprascrierea modificărilor în timpul actualizărilor.

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Editați fișierul de configurare utilizând un editor de text:

sudo nano /etc/fail2ban/jail.local

Setări de configurare a cheilor

  • bantime: Definește durata (în secunde) pentru care o adresă IP va fi interzisă.
  • findtime: Specifică fereastra de timp pentru detectarea încercărilor eșuate multiple.
  • maxretry (încercare maximă): Numărul de încercări de conectare eșuate înainte ca un IP să fie interzis.
  • ignoreip: Listă de adrese IP de încredere care nu ar trebui interzise.

Exemple de setări:

[DEFAULT]
bantime = 600
findtime = 600
maxretry = 5
ignoreip = 127.0.0.1/8

Activarea Fail2Ban pentru SSH

Pentru a activa Fail2Ban pentru protecția SSH, asigurați-vă că următoarea secțiune este prezentă în jail.local:

[sshd]
activat = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Salvați fișierul și reporniți Fail2Ban:

sudo systemctl restart fail2ban

Verificarea stării Fail2Ban

Pentru a verifica dacă Fail2Ban funcționează corect, utilizați următoarea comandă:

sudo fail2ban-client status

Pentru a verifica starea unui anumit jail (de exemplu, SSH):

sudo fail2ban-client status sshd

Debranșarea unei adrese IP

Dacă o adresă IP legitimă este interzisă, o puteți debana utilizând:

sudo fail2ban-client set sshd unbanip

Concluzie

Fail2Ban este un instrument esențial pentru îmbunătățirea securității serverelor prin prevenirea atacurilor brute-force. Prin configurarea sa corectă, puteți reduce semnificativ încercările de acces neautorizat și vă puteți proteja serverul Ubuntu de potențiale amenințări.