Jack Wallen vás provede procesem instalace fail2ban na Ubuntu Server 22.04, aby se zabránilo škodlivým pokusům o přihlášení.
Fail2ban je jednou z prvních věcí, které byste měli nainstalovat na své nové nasazení serveru Linux. Po nasazení se fail2ban brání škodlivým útokům a útokům hrubou silou při přihlašování a lze jej použít ke sledování protokolů, jako jsou HTTP, SSH a FTP.
Pokud fail2ban detekuje škodlivý pokus o přihlášení, automaticky zablokuje problematickou IP adresu, takže kdokoli se pokusí o útok, nebude mít přístup.
Provedu vás procesem instalace fail2ban na nejnovější verzi serveru Ubuntu (22.04, známé také jako Jammy Jellyfish).
Co budete potřebovat
Jediné, co budete potřebovat, abyste zprovoznili fail2ban, jsou instance Ubuntu Server 22.04 a uživatel s právy sudo.
To je ono:Pojďme zabezpečit server.
Pokrytí pro vývojáře, které si musíte přečíst
Jak nainstalovat fail2ban
Instalace fail2ban je neuvěřitelně jednoduchá. Přihlaste se do své instance serveru Ubuntu a zadejte příkaz:
sudo apt-get install fail2ban -y
Spusťte a povolte službu fail2ban pomocí:
sudo systemctl enable --now fail2ban
Pokud používáte firewall UFW – a měli byste být – pak možná budete muset povolit provoz SSH na server pomocí příkazu:
sudo ufw allow ssh
Jak nakonfigurovat fail2ban
Fail2ban závisí na několika různých souborech a adresářích, kterými jsou:
- fail2ban.conf – hlavní konfigurační soubor
- jail.conf – ukázková konfigurace vězení
- action.d – obsahuje různé konfigurace akcí fail2ban pro věci, jako je pošta a firewall
- jail.d – obsahuje další konfigurace vězení fail2ban
Vytvoříme nový soubor jail.local a nakonfigurujeme fail2ban, abychom zabránili škodlivým SSH přihlášením.
Vytvořte nový soubor pomocí:
sudo nano /etc/fail2ban/jail.local
Do tohoto souboru vložte následující obsah:
[sshd] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3 findtime = 300 bantime = 28800 ignoreip = 127.0.0.1
Zde je popis výše uvedeného:
- povoleno – povolí vězení
- port – port fail2ban bude naslouchat
- filtr – použije vestavěný filtr fail2ban
- cesta protokolu – adresář obsahující protokol fail2ban
- maxretry – počet neúspěšných pokusů povolených před zablokováním IP adresy
- findtime – doba mezi neúspěšnými pokusy o přihlášení
- bantime – počet sekund, na které je IP adresa zakázána
- ignoreip – IP adresa, kterou má fail2ban ignorovat
Uložte a zavřete soubor.
Restartujte fail2ban pomocí:
sudo systemctl restart fail2ban
Jak otestovat fail2ban
Přihlaste se do jiného počítače a pokuste se přihlásit SSH k serveru fail2ban. Ujistěte se, že jste třikrát zadali nesprávné heslo.
Po třetím pokusu se vám SSH uzamkne a musíte použít kombinaci kláves CTRL + C, abyste se vrátili do výzvy. Pokud se pokusíte o další přihlášení SSH, zobrazí se vám chyba Připojení odmítnuto.
Jak zrušit zákaz IP adresy
Po otestování možná budete chtít zrušit zákaz IP adresy, kterou jste použili. Ujistěte se, že máte zakázanou IP pomocí příkazu:
sudo fail2ban-client status sshd
V seznamu byste měli vidět něco jako následující:
Status for the jail: sshd
|- Filter | |- Currently failed: 0 | |- Total failed: 3 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 1 |- Total banned: 1 `- Banned IP list: 192.168.1.40
Chcete-li zrušit zákaz IP adresy 192.168.1.40, zadejte příkaz:
sudo fail2ban-client set sshd unbanip 192.168.1.40
Měli byste vidět vytištěnou jedničku, protože tolik IP adres jste právě zrušili.
Můžete také ručně zakázat IP pomocí příkazu:
sudo fail2ban-client set sshd banip 192.168.1.40
Gratulujeme, úspěšně jste nainstalovali a nakonfigurovali fail2ban k blokování nechtěných přihlášení SSH k vaší instanci serveru Ubuntu.