Fail2ban: Защита от грубой силы и нежелательного трафика

Fail2ban — это популярный инструмент для обеспечения безопасности серверов, который защищает их от атак методом подбора паролей (brute-force) и других видов нежелательной активности. Он мониторит журналы (логи) системы и автоматически блокирует IP-адреса, которые ведут себя подозрительно.

Основные функции

1. Мониторинг логов: Fail2ban анализирует журналы различных сервисов (SSH, FTP, веб-серверы и др.) и ищет подозрительные действия.
2. Блокировка IP-адресов: При обнаружении множества неудачных попыток входа, Fail2ban может временно или навсегда блокировать IP-адрес.
3. Гибкость: Можно настроить различные правила для разных сервисов, а также настроить время блокировки и количество допустимых попыток.

Установка

Для установки Fail2ban на Ubuntu или Debian выполните следующие команды:

sudo apt-get update
sudo apt-get install fail2ban

Основные файлы конфигурации

• /etc/fail2ban/jail.conf: Основной файл конфигурации, в котором можно настраивать правила для различных сервисов.
• /etc/fail2ban/jail.local: Рекомендуется создавать этот файл для пользовательских настроек, чтобы изменения не были потеряны при обновлениях.

Пример настройки для SSH

Создай файл конфигурации: sudo nano /etc/fail2ban/jail.local
Добавь настройки для SSH:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
enabled: Включает защиту для SSH.

maxretry: Максимальное количество неудачных попыток входа.

bantime: Время блокировки IP в секундах.

Проверка статуса: sudo fail2ban-client status
Проверка статуса конкретного jail для SSH): sudo fail2ban-client status sshd Разблокировка IP: sudo fail2ban-client set sshd unbanip <ВАШ IP> ПО ПОДРОБНЕЕ СМОТРИТЕ В ОПИСАНИИ ИНСТРУМЕНТА