Ako zrušiť zákaz IP v fail2ban


Mnohé z bezpečnostných nástrojov nechránia váš systém pred kompromismi. Ani nastavenie najsilnejšieho hesla problém nevyrieši, pretože ho možno prelomiť aj niekoľkými technikami. Fail2ban je skvelý nástroj, ktorý vám umožňuje zakázať IP adresu, ktorá sa pokúša o nesprávne overenie. Namiesto toho, aby umožnil používateľovi skúšať a uspieť, v prvom rade ho blokuje. Preto bráni vniknutiu predtým, ako zahrnú váš systém.

Pri nesprávnych pokusoch o overenie môže fail2ban niekedy zablokovať aj legitímne pripojenia. Štandardne je čas zákazu 10 minút. Po 10 minútach sa zakázaná IP adresa automaticky zruší. Ak je však legitímny systém zakázaný a nemôžete čakať, kým uplynie čas zákazu, môžete ho zrušiť manuálne. V tomto príspevku si popíšeme, ako odbanovať IP adresu v fail2ban.

Pozadie:

Keď sa používateľ pokúsi prihlásiť s nesprávnym heslom viac, ako je uvedené v možnosti maxretry v súbore /etc/fail2ban/jail.local, bude pomocou fail2ban zakázaný. Zakázaním adresy IP systému žiadny používateľ v zakázanom systéme nemôže používať zakázanú službu.

Nasleduje chybové hlásenie prijaté používateľom s IP adresou „192.168.72.186“ zakázanou funkciou fail2ban. Pokúšal sa prihlásiť na server cez SSH pomocou nesprávnych hesiel.

Zobraziť zakázanú IP adresu a informácie o väzení

Ak chcete zistiť, ktoré adresy IP sú zakázané a kedy, môžete si pozrieť protokoly zo servera, kde je nainštalovaný fail2ban:

$ cat /var/log/fail2ban.log

Nasledujúci výstup ukazuje, že IP adresa „192.168.72.186“ je zakázaná funkciou fail2ban a je vo väzení s názvom „sshd. “

Na zobrazenie zakázaných adries IP môžete použiť aj nasledujúci príkaz s názvom väzenia:

$ sudo fail2ban-client status <jail_name>

Napríklad v našom prípade je zakázaná IP adresa vo väzení „sshd“, takže príkaz bude:

$ sudo fail2ban-client status sshd

Výstup potvrdzuje, že IP adresa „192.168.72.186“ je vo väzení s názvom „sshd. “

Odbanujte IP v fail2ban

Ak chcete zrušiť zákaz IP adresy v fail2ban a odstrániť ju z väzenia, použite nasledujúcu syntax:

$ sudo fail2ban-client set jail_name unbanip xxx.xxx.xxx.xxx

kde “jail_name” je väzenie, kde je zakázaná IP adresa a “xxx.xxx.xxx.xxx” je IP adresa, ktorá je zakázaná.

Napríklad, ak chcete zrušiť zákaz IP adresy „192.168.72.186“, ktorá je vo väzení „sshd“, príkaz by bol:

$ sudo fail2ban-client set sshd unbanip 192.168.72.186

Overte, či bola IP adresa zrušená

Teraz, aby ste si overili, či bola IP adresa zrušená, zobrazte denníky pomocou príkazu nižšie:

$ cat /var/log/fail2ban.log

V protokoloch uvidíte záznam Zrušiť zákaz.

Alebo môžete tiež použiť nasledujúci príkaz na potvrdenie, či bola IP adresa zrušená:

$ sudo fail2ban-client status <jail_name>

Nahraďte „jail_name“ názvom väzenia, kde bola zakázaná IP adresa.

Ak nenájdete IP adresu uvedenú v zozname zakázaných IP adries, znamená to, že jej zakázanie bolo úspešne zrušené.

Takto môžete zrušiť zákaz IP adresy v fail2ban. Po zrušení zákazu IP adresy sa môžete jednoducho prihlásiť na server cez SSH.