Установка и настройка Fail2ban

В этой статье я приведу пример установки и настройки Fail2ban.

Команда установки Fail2ban в Ubuntu:

sudo apt-get install fail2ban

После установки настраиваем конфигурационные файлы которые находятся по адресу:
/etc/fail2ban/fail2ban.conf (основной)
/etc/fail2ban/jail.conf (настройки защиты конкретных сервисов)
/etc/fail2ban/jail.local (дополнительный файл с более высоким приоритетом для настройки защиты конкретных сервисов)
Защита SSH по умолчанию после установки включена.
В конфигурации присутствует уже много готовых настроек, например для apache2, nginx, named, pure-ftpd, proftpd, postfix и т.д., которые можно активировать указав «true» вместо «false».

Сразу можно указать IP адреса и сети которые нельзя блокировать, например локальные и время блокировки увеличим на 30 дней:

ignoreip = 127.0.0.1/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
bantime = 30d

Фильтры по которым определяется неудачная попытка ввода пароля и другие не желаемые действия находятся в директории /etc/fail2ban/filter.d и включаются естественно в файле конфигурации /etc/fail2ban/jail.conf и /etc/fail2ban/jail.local. А правила реагирования находятся в /etc/fail2ban/action.d.
Логи стандартно пишутся в /var/log/fail2ban.log

Просмотр правил в iptables:

sudo iptables -S | grep fail2ban
sudo iptables -nvL
sudo ip6tables -nvL

Просмотр статуса:

sudo fail2ban-client status
sudo fail2ban-client status sshd
sudo fail2ban-client status roundcube
sudo fail2ban-client status postfix
sudo fail2ban-client status dovecot
sudo fail2ban-client status proftpd

Для перезапуска fail2ban нужно набрать:

sudo service fail2ban restart

Пример разблокировки IP адреса (либо можно вручную удалить правило в iptables):

sudo fail2ban-client set sshd unbanip "IP"

Пример разблокировки всех IP адресов:

sudo fail2ban-client unban --all

Смотрите также мои статьи:

Оставьте комментарий

Добавить комментарий