Nástroj fail2ban sleduje vaše protokolové soubory a jedná, jakmile zjistí škodlivé chování způsobem, který jste mu řekli. Jedním z běžných případů použití je blokování škodlivých IP adres zaváděním pravidel brány firewall za běhu pomocí iptables.
Jedná se o nástroj, který slouží k ochraně různých služeb včetně SSH, FTP, SMTP, Apache a mnoha dalších před nežádoucími návštěvníky. Funguje tak, že čte soubory protokolu pro vzory založené na neúspěšných pokusech o přihlášení a podle toho se zabývá problematickými IP adresami. Samozřejmě jste již svůj SSH server nebo jinou službu posílili na úrovni přímé aplikace, ale účelem tohoto receptu je ukázat, že když čelíte možnosti útoků hrubou silou, přidaná vrstva ochrany je vždy užitečná. .
Odinstalace fail2ban na Ubuntu
Navzdory funkcím, které poskytuje fail2ban, možná budete chtít balíček odinstalovat. Chcete-li tak učinit, postupujte podle kroků uvedených níže:
1. Odstraňte balíček fail2ban:
$ sudo apt-get remove fail2ban
2. Odinstalujte fail2ban včetně závislého balíčku. Pokud byste chtěli odstranit fail2ban a jeho závislé balíčky, které již Ubuntu nepotřebuje,
$ sudo apt-get remove --auto-remove fail2ban
Použijte Purging fail2ban
Pokud použijete s volbami purge k balíčku fail2ban, všechny konfigurační a závislé balíčky budou odstraněny.
$ sudo apt-get purge fail2ban
Pokud použijete možnosti čištění spolu s automatickým odstraněním, bude odstraněno vše, co se balíčku týká. Je to opravdu užitečné, když chcete znovu nainstalovat.
$ sudo apt-get purge --auto-remove fail2ban
Přeinstalování fail2ban v Ubuntu
Instalace a konfigurace Fail2ban je poměrně jednoduchá. Nejprve nainstalujte jeho balíček:
$ sudo apt install fail2ban
Po instalaci se spustí démon fail2ban a bude nakonfigurován tak, aby se automaticky spouštěl při bootování. Konfigurace fail2ban je jednoduše záležitostí vytvoření konfiguračního souboru. Nejjednodušší způsob, jak začít, je vytvořit kopii jail.conf a uložit ji jako jail.local:
$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Upravte konfigurační soubor /etc/fail2ban/jail.local podle svých potřeb a restartujte službu fail2ban:
$ sudo systemctl restart fail2ban $ sudo systemctl status -l fail2ban
Závěr
Fail2Ban je program třetí strany, který běží na pozadí a sleduje protokoly. Když jsou určité loglines (jako je například řádek s výzvou k autentizaci zobrazený dříve) vidět určitý počet krát, Fail2Ban provede akci. Může být naprogramován tak, aby vám poslal e-mail s upozorněním, nebo automaticky použil IPTables k zablokování problematické IP adresy poté, co během určitého časového období dojde k příliš velkému počtu pokusů.