Вступ

Fail2Ban – це потужний інструмент безпеки, призначений для захисту серверів на базі Linux від атак грубого перебору. Він відстежує файли журналів на предмет підозрілої активності і забороняє шкідливі IP-адреси за допомогою правил брандмауера. Цей посібник проведе вас через процес встановлення, налаштування та використання Fail2Ban в системі Ubuntu.

Встановлення Fail2Ban

Спочатку оновіть список пакунків і встановіть Fail2Ban за допомогою наступних команд:

sudo apt update
sudo apt install fail2ban -y

Після встановлення запустіть і увімкніть службу Fail2Ban:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

Налаштування Fail2Ban

Файл конфігурації Fail2Ban за замовчуванням знаходиться за адресою /etc/fail2ban/jail.conf. Однак рекомендується створити власний конфігураційний файл, щоб запобігти перезапису змін під час оновлень.

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Відредагуйте конфігураційний файл за допомогою текстового редактора:

sudo nano /etc/fail2ban/jail.local

Основні налаштування конфігурації

  • bantime: Визначає тривалість (в секундах), на яку IP-адреса буде заблокована.
  • findtime: Визначає часовий проміжок для виявлення декількох невдалих спроб.
  • maxretry: Кількість невдалих спроб входу до того, як IP буде забанено.
  • ignoreip: Список довірених IP-адрес, які не повинні бути заборонені.

Приклади налаштувань:

[DEFAULT]
bantime = 600
findtime = 600
maxretry = 5
ignoreip = 127.0.0.0.1/8

Включення Fail2Ban для SSH

Щоб увімкнути Fail2Ban для захисту SSH, переконайтеся, що у файлі jail.local присутній наступний розділ:

[sshd]
enabled = true
порт = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Збережіть файл і перезапустіть Fail2Ban:

sudo systemctl restart fail2ban

Перевірка стану Fail2Ban

Щоб перевірити правильність роботи Fail2Ban, скористайтеся наступною командою:

sudo fail2ban-client status

Щоб перевірити статус конкретного джейла (наприклад, SSH):

sudo fail2ban-client status sshd

Зняття заборони з IP-адреси

Якщо легітимну IP-адресу було забанено, ви можете розбанити її за допомогою:

sudo fail2ban-client set sshd unbanip .

Висновок

Fail2Ban є важливим інструментом для підвищення безпеки сервера шляхом запобігання атакам грубого перебору. Налаштувавши його належним чином, ви можете значно зменшити кількість спроб несанкціонованого доступу і захистити ваш сервер Ubuntu від потенційних загроз.