Как предотвратить атаки перебора SSH с помощью Fail2ban в Linux?


Linux* – это популярная операционная система для серверов и других устройств. Она известна своей стабильностью, безопасностью и гибкостью. Однако ни одна операционная система не застрахована от атак. Одним из наиболее распространенных типов атак на Linux-серверы является атака типа bruteforce.

К счастью, существует множество программ безопасности, которые позволяют предотвратить атаки методом перебора. Одной из них является программа Fail2ban в Linux.

Что такое Fail2ban?

Fail2ban – это бесплатное программное средство предотвращения вторжений с открытым исходным кодом, позволяющее защитить Linux-серверы от атак методом «грубой силы». Он работает на основе мониторинга системных журналов на предмет неудачных попыток входа в систему. Если Fail2Ban обнаруживает большое количество неудачных попыток входа в систему с одного IP-адреса, он автоматически блокирует этот IP-адрес на определенное время. Это не позволит злоумышленнику продолжить атаку.

Fail2ban – очень универсальный инструмент, который можно использовать для защиты широкого спектра сервисов, включая SSH, HTTP и FTP. Кроме того, он очень прост в установке и настройке.

После установки Fail2ban можно просто указать сервисы, которые необходимо защитить, и количество неудачных попыток входа, которые приведут к запрету.

Fail2ban – ценный инструмент для любого администратора Linux, желающего повысить безопасность своих серверов. Это простой и эффективный способ защиты от атак «грубой силы «, которые являются одной из наиболее распространенных угроз для Linux-серверов.

Fail2ban написан на Python и его исходный код свободно доступен на GitHub. Он может работать на любом дистрибутиве Linux, macOS и BSD* системах.

1. Установите Fail2ban

Сначала обновите индекс пакетов в вашей системе, выполнив следующую команду:

sudo apt update

Затем установите fail2ban, выполнив следующую команду:

sudo apt install fail2ban

2. Настройка Fail2ban для предотвращения атак перебора SSH

После завершения установки перейдите в каталог конфигурации, выполнив следующую команду:

cd /etc/fail2ban/

В этом каталоге находится основной файл конфигурации fail2ban с именем «jail.conf«. Однако рекомендуется сделать копию конфигурационного файла и использовать ее вместо модификации исходного файла.

Для этого выполните:

sudo cp jail.conf jail.local

Откройте скопированный конфигурационный файл в удобном для вас текстовом редакторе.:

sudo nano jail.local

В этом файле можно настроить параметры различных служб, таких как SSH, Apache и др. Например, чтобы настроить защиту SSH, найдите раздел [sshd] и внесите следующие изменения:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 1800
ignoreip = 127.0.0.1/8

Эта конфигурация добавляет в Fail2ban секцию с именем «[sshd]» для защиты службы SSH (Secure Shell). Давайте разберем каждую часть:

  • enabled = true: Эта строка указывает на то, что «sshd» включена, т.е. она активна и будет отслеживать попытки несанкционированного доступа.
  • port = ssh: Здесь указывается номер порта (по умолчанию 22), на котором работает служба SSH. Fail2ban будет отслеживать этот порт на предмет подозрительной активности. Если у Вас изменено порт SSH, то стоит поменять это значение.
  • filter = sshd: Здесь указывается имя фильтра, который должен применяться для мониторинга службы SSH. Правила фильтра определяют, какие события необходимо отслеживать и как обнаруживать вредоносное поведение.
  • logpath = /var/log/auth.log: Здесь указывается путь к файлу журнала (/var/log/auth.log), в который записываются события, связанные с аутентификацией для SSH. Fail2ban будет проверять этот файл журнала на наличие признаков попыток несанкционированного доступа.
  • maxretry = 3: Здесь задается максимальное число допустимых неудачных попыток входа в систему, после которых Fail2ban начнет действовать. Если с одного и того же IP-адреса будет предпринято три или более последовательных неудачных попыток, Fail2ban отреагирует.
  • bantime = 1800: Здесь задается продолжительность в секундах, на которую будет запрещен IP-адрес, если он превысит максимальное количество неудачных попыток. В данном случае запрет длится 1800 секунд (30 минут).
  • ignoreip = 127.0.0.1/8: В этой строке перечислены IP-адреса или диапазоны IP-адресов, которые должны игнорироваться Fail2ban. Любые попытки с этих IP-адресов не будут учитываться при определении максимального количества повторных попыток. Здесь игнорируется localhost (127.0.0.1). Эта настройка является важной. Она предотвращает блокировку вашего собственного IP-адреса.

В заключение, эта конфигурация Fail2ban jail под названием «[sshd]» контролирует службу SSH на стандартном порту 22. Она использует фильтр «sshd« для анализа событий аутентификации, записанных в файл /var/log/auth.log. Если IP-адрес не смог войти в систему три или более раз, он будет заблокирован на 30 минут. Кроме того, localhost игнорируется и не вызывает запретов. Такая конфигурация позволяет защитить службу SSH от атак грубой силы, временно запрещая IP-адреса, демонстрирующие подозрительное поведение.

В этом примере мы показали, как защитить SSH от атак грубой силы. Однако вы можете настроить Fail2ban и для защиты других служб, например FTP Apache и т.д.

Измените указанные значения в соответствии с вашими требованиями. После изменения настроек сохраните изменения и закройте файл, нажав клавишу CTRL + O, а затем CTRL + X.

Внимание: Вы также можете настроить отдельные секции в каталоге jail.d, создав для каждой секции отдельные файлы .conf. Это позволяет настраивать параметры для различных служб или сценариев.

3. Перезапустите и включите Fail2ban

Перезапустите fail2ban для применения новых настроек, выполнив следующую команду:

sudo systemctl restart fail2ban

Для того чтобы fail2ban запускался автоматически при загрузке, включите его, выполнив следующую команду:

sudo systemctl enable fail2ban

Вот и все! Теперь Fail2ban установлен и настроен в вашей системе Debian.

4. Отображение включённых джейлов (секций)

Чтобы отобразить все включённые джейлы, выполните:

sudo fail2ban-client status

Пример вывода:

Status
|- Number of jail:	1
"- Jail list:	sshd

Для тех, кому интересно, команда fail2ban-client используется для взаимодействия с Fail2ban и управления им. Она позволяет администраторам контролировать и отслеживать службу Fail2ban и ее правила, которые отслеживают и блокируют вредоносную активность.

С помощью fail2ban-client можно выполнять такие задачи, как перезагрузка конфигурации, проверка состояния, перезапуск службы, запрет или снятие запрета с IP-адресов и т.д.

Если вы хотите отобразить состояние конкретной секции, например sshd, выполните:

sudo fail2ban-client status sshd

Вывод показывает подробную информацию о состоянии «sshd» в Fail2ban. В нем содержатся сведения о неудачных попытках, контролируемом лог-файле и запрещенных IP-адресах.

Status for the jail: sshd
|- Filter
 |- Currently failed:	0
 |- Total failed:	0
 "- File list:	/var/log/auth.log
"- Actions |- Currently banned:	0 |- Total banned:	0 "- Banned IP list:

Ниже приведено описание того, что означает каждая часть в приведенном выше выводе.

  • Status for the jail: sshd: Этот заголовок указывает на то, что следующая информация относится к джейлу «sshd».
  • Filter: Этот раздел содержит информацию, относящуюся к правилам фильтрации, которые определяют, какие события отслеживаются и какие действия предпринимаются.
  • Currently failed: Эта строка указывает на то, что в настоящее время джейл «sshd» отслеживает 0 неудачных попыток.
  • Total failed: Эта строка указывает на то, что всего было зафиксировано 0 неудачных попыток для джейла «sshd».
  • File list: /var/log/auth.log: Эта строка указывает на файл журнала (/var/log/auth.log), который джейл «sshd» отслеживает на предмет событий, связанных с аутентификацией.
  • Actions: В этом разделе содержится информация о действиях, которые Fail2ban предпринимает при обнаружении вредоносного поведения.
  • Currently banned: Эта строка указывает на то, что в настоящее время существует 0 IP-адресов, запрещенных джейлом «sshd».
  • Total banned: Эта строка показывает, что с момента запуска джейла «sshd» было запрещено 0 IP-адресов.
  • Banned IP list: Эта строка показывает, что в настоящее время нет IP-адресов, запрещенных джейлом «sshd».

5. Проверка Fail2ban

Fail2ban работает, отслеживая лог-файлы и обнаруживая неудачные попытки входа в систему, а затем запрещая IP-адреса нарушителей.

После установки и настройки fail2ban можно протестировать его, чтобы убедиться в правильности работы. Для этого попробуйте несколько раз подряд войти на ваш сервер Fail2ban, используя неправильный пароль. После нескольких неудачных попыток fail2ban должен автоматически заблокировать ваш IP-адрес.

Вы можете посмотреть запрещенные IP-адреса, отобразив статус sshd jail на вашем сервере.

sudo fail2ban-client status sshd

Пример вывода:

Status for the jail: sshd
|- Filter
 |- Currently failed:	0
 |- Total failed:	0
 "- File list:	/var/log/auth.log
"- Actions |- Currently banned:	1 |- Total banned:	1 "- Banned IP list:	192.168.1.101

Как видно, IP-адрес 192.168.1.101 запрещен в sshd jail после неоднократных попыток неправильного входа по SSH. Согласно моей конфигурации, этот IP-адрес будет заблокирован на 30 минут. Вы, конечно, можете увеличить или уменьшить это время по своему усмотрению.

6. Как вручную запретить или разблокировать IP-адрес?

Чтобы вручную запретить или разблокировать IP-адрес с помощью Fail2ban, можно воспользоваться командой fail2ban-client. Вот как это можно сделать:

6.1. Запрет IP-адреса

Вы можете запретить IP-адрес с помощью следующей команды:

sudo fail2ban-client set <jail-name> banip <ip-address>

Замените <jail-name> на имя конкретного джейла, к которому вы хотите применить запрет (например, «sshd» для SSH), а <ip-address> – IP-адрес, который нужно запретить.

Например, чтобы вручную запретить IP-адрес «192.168.1.101» в «sshd», можно использовать:

sudo fail2ban-client set sshd banip 192.168.1.101

Если вы хотите запретить определенный IP-адрес на определенный срок, используйте следующую команду:

sudo fail2ban-client set <jail-name> bantime <time_in_seconds> --banip <ip_address>

Замените <jail-name> на имя, <time_in_seconds> на желаемую продолжительность запрета в секундах, а <ip_address> на IP-адрес, который вы хотите запретить.

Проверить список запрещенных IP-адресов можно с помощью команды fail2ban-client с флагом «get«, как показано ниже:

sudo fail2ban-client get sshd banned

Для получения дополнительных опций и примеров использования просмотрите раздел справки, выполнив следующую команду:

fail2ban-client --help

6.2. Разблокировка IP-адреса

Иногда требуется удалить заблокированный IP-адрес из определенного джейла.

Чтобы вручную разблокировать (снять запрет) IP-адрес, можно воспользоваться следующей командой:

sudo fail2ban-client set <jail-name> unbanip <ip-address>

Замените <jail-name> на имя джейла (например, «Например, чтобы вручную снять запрет с IP-адреса «192.168.1.101» в «sshd», нужно использовать:

sudo fail2ban-client set sshd unbanip 192.168.1.101

Помните, что запрет или снятие запрета с IP-адреса вручную может отменить нормальное поведение Fail2ban, поэтому используйте эти команды осторожно и только в случае необходимости.

7. Увеличение времени бана для повторных нарушителей

В Fail2ban предусмотрена возможность включения функции «Увеличение времени бана», которая позволяет автоматически увеличивать продолжительность бана для повторных нарушителей. Это может стать мощным сдерживающим фактором для настойчивых злоумышленников.

Откройте файл конфигурации с помощью удобного текстового редактора:

sudo nano /etc/fail2ban/jail.local

Внутри файла конфигурации найдите и откомментируйте строки, связанные с параметрами bantime.increment и bantime.factor.

...
bantime.increment = true
bantime.factor = 2
bantime.formula = ban.Time * (1<<(ban.Count if ban.Count<20 else 20)) * banFactor
...

В данном примере параметр bantime.increment включен (true), а параметр bantime.factor установлен на 2. Это означает, что время бана будет удваиваться для каждого последующего бана.

После внесения изменений сохраните конфигурационный файл и закройте текстовый редактор.

Для применения изменений перезапустите службу Fail2ban:

sudo systemctl restart fail2ban

При такой конфигурации Fail2ban будет автоматически увеличивать время бана для повторных нарушителей, основываясь на указанной логике. Эта функция может быть эффективна для борьбы с постоянными злоумышленниками, поскольку при каждом последующем нарушении срок бана будет увеличиваться. Настройте параметр bantime.factor в соответствии с желаемым уровнем увеличения.

Не забудьте тщательно протестировать конфигурацию, чтобы убедиться в ее соответствии целям и требованиям безопасности.

8. Белый список IP-адресов

Белый список IP-адресов – это разрешение определенным IP-адресам обходить запрещающие механизмы Fail2ban. Это полезно для предотвращения случайных запретов IP-адресов, которым вы доверяете, например, собственного IP-адреса или IP-адресов доверенных служб.

Откройте конфигурационный файл fail2ban с помощью текстового редактора:

sudo nano /etc/fail2ban/jail.local

Найдите строку ignoreip. Откомментируйте ее, удалив # в начале строки, если она закомментирована. Затем добавьте IP-адреса, которые вы хотите внести в белый список, разделяя их пробелами или запятыми.

ignoreip = 127.0.0.1/8 192.168.1.123
...

В данном примере в белый список внесен IP-адрес 192.168.1.123. Вы можете добавить другие IP-адреса или диапазоны IP-адресов в том же формате.

После внесения изменений сохраните конфигурационный файл и закройте текстовый редактор.

Для применения изменений перезапустите службу Fail2ban:

sudo systemctl restart fail2ban

При такой настройке на IP-адрес, внесенный в белый список, не будут распространяться запрещающие правила Fail2ban. Важно вносить в белый список только те IP-адреса, которым вы доверяете, так как в противном случае это может подорвать преимущества Fail2ban с точки зрения сетевой безопасности.

9. Просмотр журналов fail2ban

После того как fail2ban настроен, необходимо следить за его работой, чтобы убедиться в ее правильности. Вы можете проверить журналы fail2ban, чтобы убедиться, что он обнаруживает и блокирует подозрительную активность.

sudo tail /var/log/fail2ban.log

Пример вывода:

2023-09-04 13:04:44,614 fail2ban.filter [2087]: INFO [sshd] Found 192.168.1.101 - 2023-09-04 13:04:39
2023-09-04 13:04:46,216 fail2ban.filter [2087]: INFO [sshd] Found 192.168.1.101 - 2023-09-04 13:04:46
2023-09-04 13:04:52,122 fail2ban.filter [2087]: INFO [sshd] Found 192.168.1.101 - 2023-09-04 13:04:51
2023-09-04 13:04:52,417 fail2ban.actions [2087]: NOTICE  [sshd] Ban 192.168.1.101
2023-09-04 13:34:51,119 fail2ban.actions [2087]: NOTICE  [sshd] Unban 192.168.1.101
2023-09-04 13:37:05,961 fail2ban.filter [2087]: INFO [sshd] Found 192.168.1.101 - 2023-09-04 13:37:05
2023-09-04 13:37:09,422 fail2ban.filter [2087]: INFO [sshd] Found 192.168.1.101 - 2023-09-04 13:37:09
2023-09-04 13:37:15,328 fail2ban.filter [2087]: INFO [sshd] Found 192.168.1.101 - 2023-09-04 13:37:14
2023-09-04 13:37:15,372 fail2ban.actions [2087]: NOTICE  [sshd] Ban 192.168.1.101
2023-09-04 13:50:16,214 fail2ban.actions [2087]: NOTICE  [sshd] Unban 192.168.1.101

Если вы хотите отслеживать журналы fail2ban в режиме реального времени, просто добавьте флаг -f.

sudo tail -f /var/log/fail2ban.log

Вы также используете команду grep для поиска определенных деталей в файлах журнала fail2ban, например IP-адресов, пользователей-агентов или сообщений об ошибках. Например, для поиска и фильтрации результатов, содержащих IP-адрес, можно использовать:

grep "192.168.1.101" /var/log/fail2ban.log

Аналогичным образом можно отфильтровать журналы, содержащие определенный пользовательский агент (например, Bing):

grep "Bing" /var/log/fail2ban.log

Фильтр записей журнала, содержащих сообщения об ошибках.

grep "error" /var/log/fail2ban.log

Вы также можете найти запрещенные или незапрещенные IP-адреса по дате и времени.

Чтобы найти запрещенные IP-адреса вместе с соответствующей датой и временем, вы можете использовать следующую команду:

sudo grep 'Ban' /var/log/fail2ban.log
2023-09-04 13:04:52,417 fail2ban.actions [2087]: NOTICE  [sshd] Ban 192.168.1.101
2023-09-04 13:37:15,372 fail2ban.actions [2087]: NOTICE  [sshd] Ban 192.168.1.101

Это поможет вам отследить активность определенного IP-адреса.

Чтобы просмотреть незапрещенные IP-адреса с временной меткой, выполните:

sudo grep 'Unban' /var/log/fail2ban.log

10. Просмотр правил Fail2ban

По умолчанию Fail2ban добавляет правила в брандмауэр IPTables для блокирования IP-адресов, пытающихся получить несанкционированный доступ. Эти правила обычно добавляются в пользовательскую цепочку, специфичную для jail (например, f2b-sshd для SSH jail).

Для просмотра правил, добавленных fail2ban, можно воспользоваться следующей командой:

sudo iptables -S

Пример вывода:

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N f2b-sshd
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A f2b-sshd -j RETURN

Как видно из вывода, строки, содержащие строку «f2b-», вставлены fail2ban.

Здесь:

  • -N f2b-sshd: Эта строка создает новую пользовательскую цепочку с именем f2b-sshd. Эта цепочка будет использоваться для управления правилами, связанными с джейлом Fail2ban «sshd», который используется для защиты SSH-доступа.
  • -A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd: Эта строка добавляет правило в цепочку INPUT. Оно определяет, что входящий TCP-трафик, направленный на несколько портов (указанных в --dports 22), должен направляться на заданную пользователем цепочку f2b-sshd. Это правило используется для направления трафика, связанного с сервисом SSH, в цепочку Fail2ban.
  • -A f2b-sshd -j RETURN: Это правило находится внутри цепочки f2b-sshd. Оно определяет, что если пакет достигает этого правила в цепочке f2b-sshd, то он должен быть возвращен в предыдущую цепочку (в данном случае в основную цепочку INPUT). Это правило помогает оптимизировать обработку пакетов, позволяя пакетам, не соответствующим условиям, заданным другими правилами в цепочке f2b-sshd, переходить к другим правилам или цепочкам без дополнительной обработки.

Для фильтрации и просмотра только правил, вставленных Fail2ban, можно использовать опцию *-L* вместе с именем цепочки. Вот как это можно сделать:

sudo iptables -L <chain-name>

Замените <chain-name> на имя конкретной цепочки, используемой Fail2ban. Например, если вы хотите просмотреть правила, введенные Fail2ban для SSH-тюрьмы (f2b-sshd), выполните:

sudo iptables -L f2b-sshd

Эта команда покажет вам правила, которые Fail2ban ввел в указанную цепочку. Это полезный способ увидеть, какие IP-адреса были запрещены Fail2ban для конкретной службы или джейла.

Не забывайте, что правила Fail2ban управляются динамически, поэтому правила могут меняться в зависимости от обнаруженной активности и настроенного времени запрета.

Вы также можете использовать команду grep для фильтрации только правил, вставленных fail2ban.

sudo iptables -S | grep f2b

11. Настройка Fail2ban на использование UFW

Как было сказано ранее, по умолчанию Fail2ban использует брандмауэр IPTables для запрета IP-адресов. Например, чтобы настроить Fail2ban на использование UFW (Uncomplicated Firewall), убедитесь, что он установлен:

sudo apt install ufw

Откройте jail.local файл конфигурации в текстовом редакторе, найдите строку «banaction» и установите ее значение на ufw.

...
banaction=ufw
...

Сохраните файл и закройте его.

Перезапустите службу fail2ban, чтобы изменения вступили в силу.

sudo systemctl restart fail2ban

С этого момента Fail2ban будет запрещать IP-адреса нарушителей, используя UFW.

12. Настройка оповещений по электронной почте

Fail2ban обладает широкими возможностями настройки и может быть настроен на мониторинг широкого спектра лог-файлов и сервисов. Вы также можете настроить действия, которые fail2ban предпринимает при обнаружении подозрительной активности, например, отправку уведомления по электронной почте или запуск пользовательского сценария.

Настройка оповещений по электронной почте в Fail2ban позволяет получать уведомления об инцидентах безопасности и предпринимать необходимые действия. Вы можете настроить Fail2ban на отправку электронных писем с отчетами whois на указанный адрес электронной почты.

Чтобы настроить fail2ban на отправку оповещений по электронной почте, отредактируйте jail.local конфигурационный файл:

sudo nano /etc/fail2ban/jail.local

Внутри конфигурационного файла найдите соответствующие настройки для оповещений по электронной почте. Часто эти настройки расположены в верхней части файла. Установите в поле destemail адрес электронной почты, на который будут приходить уведомления, а в поле sender – адрес электронной почты, с которого будут отправляться уведомления.

...
destemail = admin@example.com
sender = f2b@example.com
mta=sendmail
...

В данном примере admin@example.com – это адрес электронной почты, на который будут приходить уведомления, а f2b@example.com – это адрес электронной почты, на который будут отправляться уведомления. Замените оба почтовых адреса на свои.

После внесения изменений сохраните конфигурационный файл и закройте текстовый редактор.

Если в вашей системе не настроен рабочий почтовый сервер, возможно, вам потребуется установить почтовый ретранслятор или настроить локальную доставку почты. Убедитесь, что ваш сервер способен отправлять электронную почту.

Для применения изменений перезапустите службу Fail2ban:

sudo systemctl restart fail2ban

При такой конфигурации Fail2ban будет отправлять уведомления по электронной почте на указанный адрес при каждом срабатывании запрета. Эти уведомления могут включать отчеты whois и другую информацию, связанную с запрещенным IP-адресом.

13. Когда не стоит использовать Fail2ban

Хотя Fail2ban может повысить безопасность вашей системы, есть сценарии, в которых он может оказаться не лучшим решением. Вот некоторые предупреждения и соображения:

  1. Тривиальные атаки и зависимость от протоколирования: Fail2ban эффективен против базовых атак, но он зависит от правильного протоколирования и наличия поддерживающего демона. Если протоколирование неадекватно или непоследовательно, эффективность Fail2ban может быть скомпрометирована.
  2. Аутентификация только с открытым ключом: Обычно нет необходимости использовать Fail2Ban с sshd, если включена аутентификация только с открытым ключом. Если вы уже настроили аутентификацию на основе ключей SSH, то использование fail2ban не требуется.
  3. Не замена VPN: Fail2ban не заменяет использование виртуальной частной сети (VPN) для защиты ваших соединений. Избегайте прямого выхода служб в Интернет, если в этом нет необходимости.
  4. Опасности, связанные с подменой IP-адресов: Fail2ban может быть уязвим к подмене IP-адресов. Если злоумышленник знает ваш IP-адрес, он может отправлять пакеты с поддельным заголовком источника, что может привести к запрету вашего IP. Чтобы решить эту проблему, убедитесь, что в конфигурации ignoreip указан IP-адрес вашего сервера fail2ban.

Помните, что Fail2ban – это инструмент, дополняющий ваши меры безопасности, но оценивать его преимущества необходимо исходя из ваших конкретных настроек и требований.

14. Как удалить Fail2ban

Чтобы удалить fail2ban из системы Linux, остановите службу fail2ban с помощью следующих команд:

sudo systemctl disable fail2ban
sudo systemctl stop fail2ban

Вы также можете использовать следующую однострочную команду, чтобы остановить и отключить службу fail2ban сразу:

sudo systemctl disable fail2ban --now

Затем удалите fail2ban с помощью команды:

sudo apt remove fail2ban --purge

Заключение

Fail2ban – это незаменимый инструмент для повышения безопасности вашего Linux-сервера. Контролируя лог-файлы и автоматически блокируя IP-адреса, fail2ban помогает предотвратить несанкционированный доступ к системе. При правильной конфигурации и настройке fail2ban может обеспечить дополнительный уровень защиты вашего Linux-сервера.

Установив и настроив fail2ban на вашем сервере Debian Linux, вы сможете защитить ваш сервер от атак с использованием брутфорса SSH и других вредоносных действий. Следуя шагам этого руководства, вы сможете повысить безопасность своего сервера и быть спокойным, зная, что ваша система защищена.

Теги:

Комментарии




В качестве аватарки используется сервис - gravatar.com



IT-событие
Создание AMD
Создание AMD

Чтобы получать уведомления о всех исторических IT-событиях -

подпишись на бота
Оглавление
  1. Что такое Fail2ban?
  2. 1. Установите Fail2ban
  3. 2. Настройка Fail2ban для предотвращения атак перебора SSH
  4. 3. Перезапустите и включите Fail2ban
  5. 4. Отображение включённых джейлов (секций)
  6. 5. Проверка Fail2ban
  7. 6. Как вручную запретить или разблокировать IP-адрес?
    1. 6.1. Запрет IP-адреса
    2. 6.2. Разблокировка IP-адреса
  8. 7. Увеличение времени бана для повторных нарушителей
  9. 8. Белый список IP-адресов
  10. 9. Просмотр журналов fail2ban
    1. Пример вывода:
  11. 10. Просмотр правил Fail2ban
    1. Пример вывода:
  12. 11. Настройка Fail2ban на использование UFW
  13. 12. Настройка оповещений по электронной почте
  14. 13. Когда не стоит использовать Fail2ban
  15. 14. Как удалить Fail2ban
  16. Заключение
  17. Комментарии