Fail2ban è un programma che monitora l'attività di accesso sul server e blocca gli indirizzi IP offensivi. Per impostazione predefinita, bloccherà gli indirizzi IP per 10 minuti prima di sbloccarli. Fail2ban ha filtri per monitorare Apache, Courier, SSH e altri programmi per attività sospette.
Questa guida presuppone che tu stia eseguendo una versione moderna di Ubuntu x64.
Installazione
Eseguire i comandi seguenti per installare Fail2ban.
sudo apt-get update
sudo apt-get install fail2ban
Configurazione
Il file di configurazione predefinito si trova come segue.
/etc/fail2ban/jail.conf
Per evitare possibili conflitti, è necessario crearne una copia. Per questo esempio, lo chiameremo jail.local.
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Ora che abbiamo un backup, iniziamo la modifica. Apri il jail.localfile nel tuo editor di testo preferito.
sudo vi /etc/fail2ban/jail.local
Puoi usare il mio esempio di configurazione qui sotto. È configurato per SSH. Ci sono alcune impostazioni che potresti voler modificare, come:
- Aggiunta di notifiche e-mail per quando qualcuno sta tentando di accedere al server.
- La lunghezza del divieto.
- Il numero massimo di tentativi prima dell'esecuzione di un divieto.
- Includi il tuo IP statico in "ignoreip" (se ne hai uno).
Esempio di configurazione
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 1800
maxretry = 4
[ssh-route]
maxretry = 3
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=root, sender=fail2ban@your-domain.com]
Dopo aver apportato le modifiche alla configurazione, riavvia Fail2ban e sei pronto per partire.
sudo service fail2ban restart