Fail2Ban na Ubuntu Server

Autor:Ing. Vladimír Nepor
Datum publikace

Fail2Ban spadá do kategorie bezpečnostních nástrojů. Používá se především k ochraně proti různým typům automatizovaných útoků, zejména proti útokům hrubou silou na přihlašovací systémy. Funguje tak, že sleduje logy aplikací (jako jsou SSH, FTP, webové servery a mnoho dalších) a hledá vzory, které odpovídají opakovaným pokusům o přihlášení nebo jiným podezřelým aktivitám. Jakmile Fail2Ban zaznamená určité chování, které splňuje pravidla pro blokování (jako je určitý počet neúspěšných pokusů o přihlášení v krátkém časovém rámci), může automaticky aktualizovat pravidla firewallu za účelem zablokování dotyčné IP adresy "útočníka" po stanovenou dobu.

Platforma

Instalace, konfigurace a správa Fail2Ban

  • Instalace balíčku
    sudo apt install fail2ban
  • Otevření konfiguračního souboru fail2ban
    sudo nano /etc/fail2ban/jail.d/ssh.local

    Nastavení konfigurace pro nástroj. Viz ukázková konfigurace níže:

    [sshd]
enabled = true
banaction = ufw
# ufw ssh port
port = <mark>22</mark>
filter = sshd
logpath = %(sshd_log)s
# maximální počet neúspěšných pokusů o přihlášení z dané IP
maxretry = 5
# Časové okno, ve kterém se sčítají neplatné pokusy.
findtime = 3600
# čas zákazu v sekundách (86400 = den)
bantime = 86400
  • Spustit fail2ban
    sudo fail2ban-client start
sudo fail2ban-client reload
sudo fail2ban-client add sshd # To může selhat na některých systémech, pokud byl sshd jail přidán výchozí
  • Nastavení fail2ban pro automatické spuštění při startu serveru
    sudo systemctl restart fail2ban
sudo systemctl enable fail2ban

Kontrola stavu fail2ban

sudo fail2ban-client status
sudo fail2ban-client status sshd

Odblokování IP

#ukázka
# sudo fail2ban-client set [jail] unbanip [IP]

#odblokování IP 192.168.1.100
sudo fail2ban-client set sshd unbanip 192.168.1.100
Vrealmatic consulting

Něco nejasného?

Dejte nám vědět!

Kontaktovat