Ako nainštalovať Fail2ban na server Ubuntu 24.04


Na tejto stránke

  1. Predpoklady
  2. Inštalácia Fail2ban a UFW (nekomplikovaný firewall)
  3. Konfigurácia Fail2ban
  4. Kontrola pravidiel fail2ban pomocou fail2ban-client
  5. Ako zakázať a zrušiť zákaz IP adresy pomocou fail2ban-client
  6. Záver

Fail2ban je bezplatný a open source IPS (Intrusion Prevention Software), ktorý pomáha správcom zabezpečiť linuxové servery pred škodlivým prihlásením a útokmi hrubou silou. Fail2ban je napísaný v Pythone a je dodávaný s filtrami pre rôzne služby ako Apache2, SSH, FTP atď. Fail2ban znižuje škodlivé pokusy o prihlásenie blokovaním IP adries zdrojových útokov.

Fail2ban funguje tak, že skenuje protokolové súbory služieb (e.f /var/log/auth.log) a zakazuje IP adresy, ktoré zobrazujú škodlivé pokusy o prihlásenie, ako je príliš veľa nesprávnych hesiel, hľadanie exploitov atď. Fail2ban tiež podporuje viaceré backendy firewallu, ako napríklad iptables, ufw a firewalld. Umožňuje vám tiež nastaviť e-mailové upozornenie na každý zablokovaný pokus o prihlásenie.

V tejto príručke sa dozviete, ako nainštalovať Fail2ba na server Ubuntu 24.04. Nastavíte si väzenie Fail2ban, naučíte sa základný príkaz „fail2ban-client“ a potom sa naučíte, ako zakázať a zrušiť zákaz IP adries pomocou Fail2ban.

Predpoklady

Ak chcete začať s týmto sprievodcom, uistite sa, že máte:

  • Server Ubuntu 24.04
  • Používateľ bez oprávnenia root s oprávneniami správcu

Inštalácia Fail2ban a UFW (nekomplikovaný firewall)

Fail2ban je IPS (Intrusion Prevention Software), ktorý chráni servery pred útokmi hrubou silou. Štandardne je k dispozícii na väčšine linuxových repozitárov a podporuje viacero backendov brány firewall. V tejto časti si nainštalujete Fail2ban a potom nastavíte UFW (Uncomplicated Firewall), ktorý sa použije ako backend firewallu pre Fail2ban.

Najprv spustite príkaz uvedený nižšie a aktualizujte index balíkov Ubuntu.

sudo apt update

Teraz nainštalujte balíky 'fail2ban' a 'ufw' pomocou nasledujúceho príkazu 'apt'. Inštaláciu potvrďte zadaním „Y“.

sudo apt install fail2ban ufw

Po dokončení inštalácie spustite príkaz uvedený nižšie, aby ste otvorili port pre SSH a povolili UFW. Zadajte „Y“ na potvrdenie, spustenie a aktiváciu UFW.

sudo ufw allow OpenSSH
sudo ufw enable

Po povolení UFW sa zobrazí výstup „Firewall je aktívny a povolený pri štarte systému“.

Potom spustite nasledujúci príkaz na kontrolu stavu UFW. UFW uvidíte, že je „aktívny“ so zapnutým „OpenSSH“.

sudo ufw status

Nakoniec spustite príkaz 'systemctl' nižšie a spustite, povoľte a overte službu 'fail2ban'.

sudo systemctl enable --now fail2ban
sudo systemctl status fail2ban

Nižšie môžete vidieť, že 'fail2ban' je aktívny (spustený) a povolený.

Konfigurácia Fail2ban

Po nainštalovaní fail2ban ho musíte nakonfigurovať predtým, ako Fail2ban vykoná akciu (skontroluje a zablokuje). V tejto časti upravíte konfiguráciu fail2ban '/etc/fail2ban/jail.local', nastavíte globálnu konfiguráciu pre 'bantime', 'maxretry', a 'findtime', nastavte predvolenú akciu a backend UFW firewallu a potom povoľte väzenie 'sshd' na ochranu služby SSH pred útokmi hrubou silou.

Ak chcete začať, skopírujte predvolenú konfiguráciu fail2ban do '/etc/fail2ban/jail.local' s nasledujúcim:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Otvorte súbor '/etc/fail2ban/jail.local' pomocou nasledujúceho príkazu editora 'nano'.

sudo nano /etc/fail2ban/jail.local

Pridajte svoju lokálnu sieť do možnosti „ignoreip“. Žiadna podsieť v rámci tejto možnosti nebude blokovaná funkciou fail2ban.

ignoreip = 127.0.0.1/8 ::1 192.168.1.0/24 192.168.10.20

Upravte predvolenú konfiguráciu pre 'bantime' (čas IP adresy bude zakázaný), 'findtime' (trvanie medzi počtom zlyhaní pred akciou zakázania), a 'maxretry' (počet zlyhaní adries IP, ktoré majú byť zakázané). V tomto príklade nastavíte 'bantime' na '1 hodina', 'findtime' na '10 minúts, s hodnotou 'maxretry' až '5-krát'.

bantime = 1h
findtime = 10m
maxretry = 5

Voliteľne zmeňte predvolenú „akciu“ na „%(action_mw)s“, čím zakážete adresy IP a pošlete upozornenie správcovi e-mailom. Nezabudnite tiež zmeniť možnosti „destmail“ a „odosielateľ“.

action = %(action_mw)s
destemail = [email 
sender = [email 

Zmeňte predvolenú hodnotu „banaction“ na „ufw“. Vďaka tomu budú IP adresy zakázané pomocou fail2ban cez UFW.

banaction = ufw

Teraz zmeňte predvolené väzenie pre 'sshd' pomocou konfigurácie nižšie. V tomto príklade bude mať väznica 'sshd' vlastné nastavenia pre 'bantime', 'maxretry' a 'findtime '.

[sshd]
enabled = true
maxretry = 3
findtime = 15m
bantime = 3h
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

Po dokončení uložte a ukončite súbor.

Nakoniec spustite príkaz 'systemctl' nižšie, čím reštartujete službu 'fail2ban' a použijete svoje zmeny.

sudo systemctl restart fail2ban

Kontrola pravidiel fail2ban pomocou fail2ban-client

V tomto bode je služba Fail2ban spustená a spustená s povoleným väzením 'sshd'. Teraz sa naučíte základný príkaz 'fail2ban-client' na kontrolu a správu inštalácie Fail2ban.

Aby ste sa uistili, že fail2ban beží, spustite príkaz 'fail2ban-client' nižšie.

sudo fail2ban-client ping

Ak beží fail2ban, zobrazí sa výstup 'PONG'.

Teraz skontrolujte stav väzenia 'sshd' pomocou nasledujúceho príkazu. Zobrazí sa vám zoznam zistených a zakázaných adries IP pre väzenie 'sshd'.

sudo fail2ban-client status sshd

Potom spustite príkaz „fail2ban-client get“ nižšie, aby ste skontrolovali špecifické pravidlá vášho väzenia fail2ban. V tejto sekcii skontrolujete 'bantime', 'maxretry', 'actions', 'findtime “ a „ignoreip“ z väzenia „sshd“.

sudo fail2ban-client get sshd bantime
sudo fail2ban-client get sshd maxretry
sudo fail2ban-client get sshd actions
sudo fail2ban-client get sshd findtime
sudo fail2ban-client get sshd ignoreip

Ako zakázať a zrušiť zákaz IP adresy pomocou fail2ban-client

Je dôležité vedieť, ako manuálne zakázať alebo zrušiť zákaz IP adries pomocou „fail2ban-client“. Pomocou toho môžete ľahko odstrániť svoju IP adresu zo zoznamu zakázaných. Príkaz 'fail2ban-client' budete využívať na zakázanie a odbanovanie IP adries na Fail2ban.

Ak chcete zakázať adresy IP manuálne pomocou príkazu fail2ban, spustite príkaz 'fail2ban-client' nižšie. V tomto prípade ide zakázaná IP adresa do väzenia 'sshd'.

sudo fail2ban-client set sshd banip IP-ADDRESS

Teraz spustite nasledujúci príkaz na zrušenie zákazu IP adresy z väzenia fail2ban 'sshd'.

Sudo fail2ban-client set sshd unbanip IP-ADDRESS

Nakoniec môžete skontrolovať stav väzenia 'sshd' pomocou príkazu nižšie. Uvidíte, že IP adresa bola odstránená.

sudo fail2ban-client status sshd

Záver

Gratulujem! Dokončili ste inštaláciu fail2ban na server Ubuntu 24.04. Tiež ste sa naučili základnú konfiguráciu pre konfiguráciu Fail2ban, vrátane nastavenia globálnej konfigurácie a väzenia. Nakoniec ste sa tiež naučili základné používanie príkazu „fail2ban-client“ na manuálne skontrolovanie stavu fail2ban, stavu väzenia, konfigurácií väzenia a zakázania a odbanovania IP adries.