Fail2Ban na Ubuntu Serveru

Fail2Ban spadá do kategorie bezpečnostních nástrojů. Používá se především k ochraně proti různým typům automatizovaných útoků, zejména proti útokům hrubou silou na přihlašovací systémy. Funguje tak, že sleduje logy aplikací (jako jsou SSH, FTP, webové servery a mnoho dalších) a hledá vzory, které odpovídají opakovaným pokusům o přihlášení nebo jiným podezřelým aktivitám. Jakmile Fail2Ban zaznamená určité chování, které splňuje pravidla pro blokování (jako je určitý počet neúspěšných pokusů o přihlášení v krátkém časovém rámci), může automaticky aktualizovat pravidla firewallu za účelem zablokování dotyčné IP adresy "útočníka" po stanovenou dobu.

Instalace, konfigurace a správa Fail2Ban

  • Instalace balíčku
    sudo apt install fail2ban
  • Otevření konfiguračního souboru fail2ban
    sudo nano /etc/fail2ban/jail.d/ssh.local

    Nastavení konfigurace pro nástroj. Viz ukázková konfigurace níže:

    [sshd]
    enabled = true
    banaction = ufw
    # ufw ssh port
    port = 22
    filter = sshd
    logpath = %(sshd_log)s
    # maximální počet neúspěšných pokusů o přihlášení z dané IP
    maxretry = 5
    # Časové okno, ve kterém se sčítají neplatné pokusy.
    findtime = 3600
    # čas zákazu v sekundách (86400 = den)
    bantime = 86400
  • Spustit fail2ban
    sudo fail2ban-client start
    sudo fail2ban-client reload
    sudo fail2ban-client add sshd # To může selhat na některých systémech, pokud byl sshd jail přidán výchozí
  • Nastavení fail2ban pro automatické spuštění při startu serveru
    sudo systemctl restart fail2ban
    sudo systemctl enable fail2ban

Kontrola stavu fail2ban

sudo fail2ban-client status
sudo fail2ban-client status sshd

Odblokování IP

#ukázka
# sudo fail2ban-client set [jail] unbanip [IP]

#odblokování IP 192.168.1.100
sudo fail2ban-client set sshd unbanip 192.168.1.100