V tomto článku vysvětlíme nezbytné kroky k instalaci a konfiguraci Fail2ban na Ubuntu 20.04 LTS. Než budete pokračovat v tomto tutoriálu, ujistěte se, že jste přihlášeni jako uživatel s sudo privilegia. Všechny příkazy v tomto tutoriálu by měly být spouštěny jako uživatel bez oprávnění root.
Fail2ban je bezplatný, otevřený zdroj a široce používaný nástroj prevence narušení, který prohledává soubory protokolu na adresy IP, které vykazují škodlivé znaky, jako je příliš mnoho chybných hesel a mnoho dalšího a zakáže je (aktualizuje pravidla brány firewall tak, aby odmítala IP adresy). Fail2Ban je schopen snížit míru chybných pokusů o autentizaci, ale nemůže eliminovat riziko slabé autentizace. Pokud chcete služby skutečně chránit, nakonfigurujte služby tak, aby používaly pouze dvoufaktorové nebo veřejné/soukromé ověřovací mechanismy.
Předpoklad:
- Operační systém s Ubuntu 20.04
- Adresa IPv4 serveru s oprávněními superuživatele (přístup root)
- Gnome Terminal pro Linux Desktop
- Klient PuTTy SSH pro Windows nebo macOS
- Powershell pro Windows 10/11
- Znáte příkazy APT
Nainstalujte Fail2ban na Ubuntu 20.04 LTS
Krok 1. Než začnete instalovat jakýkoli balíček na svůj server Ubuntu, vždy doporučujeme zkontrolovat, zda jsou všechny systémové balíčky aktualizovány.
sudo apt update sudo apt upgrade
Krok 2. Nainstalujte Fail2ban na systém Ubuntu.
Balíčky fail2ban jsou ve výchozím nastavení dostupné v úložišti vesmíru Ubuntu. Nyní povolíme úložiště vesmíru Ubuntu pomocí následujícího příkazu:
add-apt-repository universe
Potom spustíme standardní apt install spolu s názvem balíčku fail2ban:
apt install fail2ban
Po dokončení instalace spusťte službu fail2ban a přidejte ji do spouštění systému:
systemctl start fail2ban systemctl enable fail2ban
Krok 3. Nakonfigurujte Fail2ban.
Fail2Ban shromažďuje veškerou svou konfiguraci v /etc/fail2ban/jail.conf souboru, ale v tomto konkrétním souboru není třeba provádět žádné změny. Některé systémové aktualizace nebo záplaty jej mohou také přepsat, takže jednoduše vytvořte další místní konfigurační soubor pomocí příkazu níže:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Dále otevřeme konfigurační soubor pomocí nano nebo našeho oblíbeného textového editoru, budeme používat textový editor Nano:
nano /etc/fail2ban/jail.local
Jakmile je soubor otevřen, zkopírujte a vložte do něj následující konfiguraci. Sekce [DEFAULT] obsahuje globální možnosti a [sshd] obsahuje parametry pro vězení sshd:
# # WARNING: heavily refactored in 0.9.0 release. Please review and # customize settings for your setup. # # Changes: in most of the cases you should not modify this # file, but provide customizations in jail.local file, # or separate .conf files under jail.d/ directory, e.g.: # # HOW TO ACTIVATE JAILS: # # YOU SHOULD NOT MODIFY THIS FILE. # # It will probably be overwritten or improved in a distribution update. # # Provide customizations in a jail.local file or a jail.d/customisation.local. # For example to change the default bantime for all jails and to enable the # ssh-iptables jail the following (uncommented) would appear in the .local file. # See man 5 jail.conf for details. # # [DEFAULT] # bantime = 3600 # # [sshd] # enabled = true # # See jail.conf(5) man page for more information # Comments: use '#' for comment lines and ';' (following a space) for inline comments
Doporučujeme změnit tato nastavení:
- ignoreip – V tomto řádku zadejte svou vlastní IP ISP, vyhnete se tak blokování vaší vlastní IP adresy.
- bantime – Tato hodnota nastavuje počet sekund, po které bude klient zablokován na serveru v případě, že poruší některé z pravidel. Výchozí hodnota je 10 minut, pokud chcete, můžete ji změnit na vyšší.
- maxretry – Počet případů, kdy se hostitel nemůže přihlásit, než bude zablokován.
- findtime – Doba, po kterou se klient musí přihlásit. Výchozí nastavení je 10 minut.
To je vše, co potřebujete k instalaci Fail2ban na Ubuntu 20.04 LTS Focal Fossa. Doufám, že vám tento rychlý tip pomůže. Nezapomeňte se podělit o své cenné dotazy/návrhy v níže uvedeném poli komentářů a také zanechte svou hodnotnou zpětnou vazbu.