Введение

Fail2Ban – это мощный инструмент безопасности, предназначенный для защиты серверов на базе Linux от атак методом грубой силы. Он отслеживает файлы журналов на предмет подозрительной активности и запрещает вредоносные IP-адреса с помощью правил брандмауэра. В этом руководстве вы узнаете, как установить, настроить и использовать Fail2Ban в системе Ubuntu.

Установка Fail2Ban

Сначала обновите список пакетов и установите Fail2Ban с помощью следующих команд:

sudo apt update
sudo apt install fail2ban -y

После установки запустите и включите службу Fail2Ban:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

Настройка Fail2Ban

Конфигурационный файл по умолчанию для Fail2Ban находится по адресу /etc/fail2ban/jail.conf. Однако рекомендуется создать собственный файл конфигурации, чтобы избежать перезаписи изменений при обновлениях.

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Отредактируйте файл конфигурации с помощью текстового редактора:

sudo nano /etc/fail2ban/jail.local

Настройки конфигурации ключей

  • bantime: Определяет продолжительность (в секундах), в течение которой IP-адрес будет запрещен.
  • findtime (время обнаружения): Определяет временное окно для обнаружения нескольких неудачных попыток.
  • maxretry: Количество неудачных попыток входа в систему, прежде чем IP-адрес будет заблокирован.
  • ignoreip (игнорировать): Список доверенных IP-адресов, которые не должны быть запрещены.

Примеры настроек:

[DEFAULT]
bantime = 600
время поиска = 600
maxretry = 5
ignoreip = 127.0.0.1/8

Включение Fail2Ban для SSH

Чтобы включить Fail2Ban для защиты SSH, убедитесь, что в jail.local присутствует следующий раздел:

[sshd]
включено = true
порт = ssh
фильтр = sshd
logpath = /var/log/auth.log
maxretry = 3

Сохраните файл и перезапустите Fail2Ban:

sudo systemctl restart fail2ban

Проверка состояния Fail2Ban

Чтобы убедиться, что Fail2Ban работает правильно, выполните следующую команду:

sudo fail2ban-client status

Чтобы проверить состояние конкретного джейла (например, SSH):

sudo fail2ban-client status sshd

Разблокировка IP-адреса

Если легитимный IP-адрес попал под запрет, вы можете снять с него запрет с помощью команды:

sudo fail2ban-client set sshd unbanip

Заключение

Fail2Ban – это важный инструмент для повышения безопасности сервера путем предотвращения атак методом перебора. Правильно настроив его, вы сможете значительно сократить количество попыток несанкционированного доступа и защитить свой сервер Ubuntu от потенциальных угроз.