Fail2ban для SSH

Fail2ban это сервис, который отслеживает log–файлы, и в зависимости от условий блокирует IP адреса с которых идут переборы паролей или другие несанкционированные действия. Блокировка происходит с помощью iptables. После анализа логов Fail2ban добавляет, на указанное в настройках время, цепочку REJECT.

Рассмотрим настройку контроля SSH.

Для начала нужно установить Fail2ban:

apt-get install fail2ban

После установки Fail2ban начинает работать сразу, но только для SSH и с настройками по умолчанию.
Теперь добавим требуемые нам настройки. Вся конфигурация находится в файле /etc/fail2ban/jail.conf

Нам потребуется изменить секцию SSH:

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 3600
bantime = 86400

добавим в нее строки:
maxretry — максимально количество неправильных подключений за время указанное в параметре findtime;
findtime — Время в log-файле, за которое анализируеся количество некорректных подключений. Исчисляется в секундах;
bantime — время блокировки в секундах;

и перезапускаем Fail2ban:

service fail2ban restart

Теперь после 5 неправильных вводов пароля в течении часа адрес будет блокироваться на сутки.

Узнать список включенных защит можно командой:

fail2ban-client status

А узнать статистику по заблокированным клиентам для каждого сервиса можно с помощью команды:

fail2ban-client status имя_сервиса

В следующей статье я расскажу о том, как настроить Fail2ban для WordPress.

Заказать Аудит Безопасности или Пентест Вашей IT-инфраструктуры

Быть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне.

Для того, чтобы сделать заказ:

Заполните форму обратной связи и мы обязательно с вам свяжемся:
Форма обратной связи
Позвоните нам по телефону:
+7(909)952-44-33
Напишите нам на электронную почту:
order@blackdiver.net
Напишите нам в Telegram:
Telegram
Другие способы связи Вы сможете найти в разделе Контакты.