Cum se instalează fail2ban în serverele Linux ⋆ ALexHost SRL

Test your skills on our all Hosting services and get 15% off!

Use code at checkout:

Skills
08.11.2024

Cum se instalează fail2ban în serverele Linux

Cum să instalați fail2ban și să configurați Fail2ban în serverele Linux

Cum să instalați fail2ban și să îl configurați pe serverele Linux (ubuntu / debian) utilizând fail2ban conf și configurându-l pe ubuntu și instalând fail2ban în serverul dvs.
Fail2ban vă poate proteja și ajuta cu adevărat securitatea în serverele Linux prin monitorizarea activității rău intenționate și a activității suspecte, între timp poate interzice și bloca adresele IP.
Este important să știți cum să instalați fail2ban sau să configurați fail2ban corect pentru a funcționa fără probleme și fără probleme în serverul dvs.

Cerințe:
Debian / Ubuntu
Alte Linux-uri (comenzile de configurare vor fi diferite)

NOTĂ: Nu puteți utiliza fail2ban în găzduirea partajată, va trebui să utilizați în găzduirea noastră VPS sau serverele dedicate de la Alexhost sunt cele mai bune servicii pentru a-l utiliza.

Ce este Fail2ban?

configure fail2ban

Fail2Ban este o aplicație de citire a jurnalelor care sporește securitatea serverelor Linux prin monitorizarea fișierelor jurnal pentru activități rău intenționate și prin luarea automată de măsuri pentru interzicerea sau blocarea adreselor IP asociate cu comportamente suspecte. Scopul său principal este de a proteja serverele de diferite tipuri de atacuri, în special cele care implică încercări de acces neautorizat prin forța brută. Este important să știți cum să instalați fail2ban corect în serverul dvs.

Iată cum funcționează Fail2Ban în general:

  1. Monitorizarea fișierelor jurnal: Fail2Ban monitorizează în mod continuu fișierele jurnal specificate pentru a detecta modele care indică potențiale amenințări la adresa securității. Aceste fișiere jurnal includ cele asociate cu încercările de autentificare, cum ar fi /var/log/auth.log pentru SSH sau /var/log/apache2/error.log pentru Apache.
  2. Reguli de filtrare: Fail2Ban utilizează reguli de filtrare predefinite sau configurate de utilizator pentru a identifica modele specifice în intrările din jurnal. Aceste tipare indică de obicei încercări eșuate de conectare, ghicirea parolei sau alte activități suspecte.
  3. Modele de potrivire: Atunci când o intrare din jurnal se potrivește cu un model predefinit, Fail2Ban o consideră “eșec” sau “potrivire” Filtrele sunt concepute pentru a recunoaște modele comune de atac, cum ar fi încercările repetate de conectare eșuate de la aceeași adresă IP.
  4. Acțiuni de interdicție: După un anumit număr de intrări corespunzătoare (configurat prin setarea maxretry), Fail2Ban ia măsuri pentru a bloca adresa IP incriminată. Durata interdicției este determinată de setarea bantime. Această interdicție temporară ajută la contracararea atacurilor automate, făcând accesul atacatorilor mai dificil.
  5. Închisori: Fail2Ban își organizează configurațiile de monitorizare și interzicere în unități numite “închisori” Fiecare închisoare corespunde unui anumit serviciu sau set de servicii. De exemplu, poate exista o închisoare pentru SSH, alta pentru Apache și așa mai departe. Configurația pentru fiecare închisoare, inclusiv filtrele și setările de interdicție, este definită în fișierele de configurare Fail2Ban.
  6. Stare și interacțiune: Administratorii de sistem pot verifica starea Fail2Ban, pot vizualiza adresele IP interzise și pot debana manual adresele, dacă este necesar. De asemenea, Fail2Ban își înregistrează acțiunile, oferind administratorilor un istoric al adreselor IP interzise și al evenimentelor relevante.

Prin interzicerea automată a adreselor IP care prezintă un comportament rău intenționat, Fail2Ban contribuie la protejarea serverelor împotriva atacurilor brute-force, a ghicitului parolelor și a altor amenințări la adresa securității. Este un instrument valoros pentru îmbunătățirea posturii generale de securitate a unui server Linux. Cu toate acestea, este esențial să configurați Fail2Ban în mod corespunzător pentru mediul dvs. specific și să examinați în mod regulat jurnalele sale pentru a vă asigura de buna funcționare.

### Pasul 1: Cum se instalează Fail2Ban

Deschideți un terminal pe serverul Ubuntu sau Debian și executați următoarele comenzi:

sudo apt update

sudo apt install fail2ban

### Pasul 2: Configurarea Fail2Ban

  1. Creați o copie a fișierului de configurare implicit:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

  1. Deschideți fișierul `jail.local` într-un editor de text. Puteți utiliza `nano` sau `vim`:

sudo nano /etc/fail2ban/jail.local

  1. Configurați setările de bază în fișierul `jail.local`. Iată câteva opțiuni comune:

bantime: Durata (în secunde) în care un IP va fi interzis. Valoarea implicită este 10 minute (600 de secunde).

findtime: Fereastra de timp (în secunde) în care trebuie să apară un număr definit de eșecuri pentru interzicere.

maxretry (încercare maximă): Numărul de eșecuri permise înainte de interzicere.

Exemplu:

[DEFAULT]

bantime = 600

findtime = 600

maxretry = 3

4. Configurați filtrele pentru serviciile specifice pe care doriți ca Fail2Ban să le monitorizeze. Filtrele sunt definite în fișierul `jail.local` la secțiunea `[]`. Serviciile comune includ SSH (`sshd`), Apache (`apache`) și Nginx (`nginx`).

Exemplu pentru SSH:

[sshd]

activat = true

port = ssh

filtru = sshd

logpath = /var/log/auth.log

maxretry = 5

Notă: Asigurați-vă că `port` și `logpath` corespund configurației dvs. specifice.

  1. Salvați fișierul `jail.local` și ieșiți din editorul de text.

### Pasul 3: Reporniți Fail2Ban

După efectuarea modificărilor la configurație, reporniți Fail2Ban pentru a aplica noile setări:

sudo systemctl restart fail2ban

### Pasul 4: Verificați starea Fail2Ban

Puteți verifica starea Fail2Ban cu:

sudo fail2ban-client status

Aceasta ar trebui să afișeze informații despre închisori și starea lor.

### Pasul 5: Testați Fail2Ban

Pentru a testa dacă Fail2Ban funcționează, generați în mod intenționat câteva încercări de autentificare eșuate pe serviciul monitorizat (de exemplu, SSH). După atingerea valorii `maxretry` specificate, Fail2Ban ar trebui să interzică adresa IP corespunzătoare.

Nu uitați să adaptați aceste instrucțiuni în funcție de configurațiile specifice ale sistemului și serviciilor dumneavoastră Ubuntu sau Debian. Luați întotdeauna în considerare implicațiile de securitate ale setărilor dvs. și verificați periodic jurnalele pentru orice comportament neașteptat.

Notă: În timpul configurării fail2ban pe serverul dvs., nu blocați portul 22 decât dacă sunteți sigur de ceea ce faceți, în acest caz veți bloca portul SSH implicit.

Avertisment: Fail2ban este un instrument excelent pentru a vă proteja serverele linux, dar trebuie configurat cu atenție. Pentru a evita să fiți interzis, includeți IP-ul dvs. pe lista albă și alte IP-uri pe care le considerați importante. Utilizarea fail2ban și configurarea fără a o face corect vă poate face să pierdeți conexiunea la serverul dvs., este important să știți cum să instalați fail2ban în serverul dvs. (Ubuntu, Debian, CentOS etc.).

Test your skills on our all Hosting services and get 15% off!

Use code at checkout:

Skills