В этой статье я приведу пример установки и настройки Fail2ban.
Команда установки Fail2ban в Ubuntu:
sudo apt-get install fail2ban
После установки настраиваем конфигурационные файлы которые находятся по адресу:
/etc/fail2ban/fail2ban.conf (основной)
/etc/fail2ban/jail.conf (настройки защиты конкретных сервисов)
/etc/fail2ban/jail.local (дополнительный файл с более высоким приоритетом для настройки защиты конкретных сервисов)
Защита SSH по умолчанию после установки включена.
В конфигурации присутствует уже много готовых настроек, например для apache2, nginx, named, pure-ftpd, proftpd, postfix и т.д., которые можно активировать указав «true» вместо «false».
Сразу можно указать IP адреса и сети которые нельзя блокировать, например локальные и время блокировки увеличим на 30 дней:
ignoreip = 127.0.0.1/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
bantime = 30d
Фильтры по которым определяется неудачная попытка ввода пароля и другие не желаемые действия находятся в директории /etc/fail2ban/filter.d и включаются естественно в файле конфигурации /etc/fail2ban/jail.conf и /etc/fail2ban/jail.local. А правила реагирования находятся в /etc/fail2ban/action.d.
Логи стандартно пишутся в /var/log/fail2ban.log
Просмотр правил в iptables:
sudo iptables -S | grep fail2ban
sudo iptables -nvL
sudo ip6tables -nvL
Просмотр статуса:
sudo fail2ban-client status
sudo fail2ban-client status sshd
sudo fail2ban-client status roundcube
sudo fail2ban-client status postfix
sudo fail2ban-client status dovecot
sudo fail2ban-client status proftpd
Для перезапуска fail2ban нужно набрать:
sudo service fail2ban restart
Пример разблокировки IP адреса (либо можно вручную удалить правило в iptables):
sudo fail2ban-client set sshd unbanip "IP"
Пример разблокировки всех IP адресов:
sudo fail2ban-client unban --all
Смотрите также мои статьи:
- Настройка Fail2Ban под ProFTPd
- Настройка Fail2Ban под Asterisk
- Настройка Fail2Ban под Bind9
- Настройка Fail2ban с IPv6
- rsyslogd: action ‘action-6-builtin:omfile’ resumed (module ‘builtin:omfile’)