search

File 2 ban

File2ban arrow-up-rightиспользуется для блокировки IP адресов. Технология простая - он сканирует логи (к примеру /var/log/apache/error_log) и банит Ip которые проявляют вредоносные признаки, к примеру превышают макс. количество попыток входа.

В настройках задаются параметры - сколько попыток доступа можно сделать за указанный промежуток времени, и интервал времени бана.

circle-exclamation

Однако надо понимать, что File2Ban снижает, но не устраняет полностью риск кражи информации с сервера.

Для серьезной защиты сервера требуется установить вход по SSH ключу, либо 2FA.

hashtag
Установка

sudo apt install fail2ban

Запустим и сделаем автоматический запуск демона при каждой загрузке:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

hashtag
Настройка

Все параметры банов задаются в конфигурационном файле jail.conf, который находится по адресу /etc/fail2ban/jail.conf

По умолчанию, после установки мы имеем такие настройки для бана по SSH:

[DEFAULT]
ignorecommand =
bantime = 10m
findtime = 10m
maxretry = 5

Где: bantime - [мин] время на которое банится ip. findtime - [мин] интервал времени за который можно попытаться войти на сервер maxretry раз. maxretry - [раз] разрешенное количество попыток входа, за интервал времени findtime.

Если вы решили изменить настройки, то открываем редактор:

После изменения параметров перезагрузим сервис и посмотрим логи:

Если возникает ошибка связанная с тем, что file2ban не находит log файл, в который записывать логи:

то решим эту проблему так:

Готово!🎉 Вы защитили свой сервер от атаки с подбором паролей и пользователей.

С помощью Fila2Ban можно защищать не только SSH, но и apache, courier и т.д. Поднобнееarrow-up-right.

Previous2FA для SSHNextOssec + postfix (Is in writing)

Last updated