База знаний по Open Source
Авторизация
Поиск по базе знаний

Fail2Ban – это хороший способ удержать потенциальных злоумышленников от взлома сервера Ubuntu/Debian.

Fail2Ban – приложение, которое предотвращает попытки нападения на сервер посредством перебора паролей. Когда Fail2Ban обнаруживает многократные неудавшиеся попытки логина с одного IP-адреса, он создает временное правило брандмауэра, которое блокирует трафик с  IP-адреса злоумышленника.

Предпринятые попытки логина могут быть проверены на множестве протоколов, включая SSH, HTTP и и SMTP. По умолчанию Fail2Ban контролирует только SSH .

Далее описано, как установить и настроить Fail2Ban:

  1. Установливатся Fail2Ban из репозитория Ubuntu:

    sudo apt-get install fail2ban
  2. Дополнительно, можно переопределить конфигурацию Fail2Ban по умолчанию, создав новый jail.local файл любым редактором текста (здесь nano):

    sudo nano /etc/fail2ban/jail.local

Дополнительные параметры конфигурационного файла Fail2Ban можно посмотреть в этой статье на официальном сайте  Fail2Ban (на английском).

  1. Необходимо присвоить переменной bantime время, в течении которого будет действовать бан.
  2. Необходимо присвоить переменной maxretry максимальной количество попыток логинов с одного  IP адреса, после которого он будет забанен.
  3. Затем нажать Control-x и y для сохранения изменений в конфигурационном файле Fail2Ban.

Fail2Ban установлен и запущен. Теперь он будет отслеживать файлы журнала для отлавливания неудавшихся попыток входа в систему. После того, как количество попыток  превысит максимальное количество попыток аутентификации, IP-адрес будет блокирован на сетевом уровне, и событие будет зарегистрировано /var/log/fail2ban.log.

Добавить комментарий