Fail2Ban Debian

Aprenda a como instalar o Mitigador Anti-DDos em Linux Debian!

Aprenda a como instalar o Fail2Ban em uma maquina Debian.

Instalando fail2ban

Ele opera monitorando arquivos de log para determinado tipo de entradas e executa ações predeterminadas com base em suas descobertas. Você pode instalar o software com o seguinte

sudo aptitude install fail2ban

Uma vez instalado, copie o arquivo default jail.conf para fazer uma configuração local com este comando

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Em seguida, abra o novo arquivo de configuração local para editar com seu editor de texto favorito, por exemplo

sudo nano /etc/fail2ban/jail.local
Role para baixo para passar por algumas das configurações disponíveis no arquivo de configuração.

O primeiro deles são os padrões básicos para ignoreip,que permite que você exclua certos endereços IP de serem banidos, por exemplo, se o seu próprio computador tiver um IP fixo, você pode inseri-lo aqui. Em seguida, defina o tempo de proibição que determina quanto tempo um host ofensivo permanecerá bloqueado até que seja desbloqueado automaticamente. Verifique por último as contagens de tempo de encontrar e maxretria, das quais o tempo de encontrar define a janela de tempo para as tentativas de repetição máxima antes que o IP do host que tenta conectar seja bloqueado.
[DEFAULT] 
ignoreip = 127.0.0.1 
bantime = 3600 
findtime = 600 
maxretry = 3

Se você tiver um serviço de envio configurado em seu servidor na nuvem, você pode habilitar as notificações de e-mail do Fail2ban inserindo seu endereço de e-mail para o e-mail e alterando a 

ação = %(action_)s para ação = %(action_mw)s.

Depois de fazer as configurações básicas, verifique as diferentes prisões disponíveis nas opções de configuração. Prisões são as regras que fail2ban se aplica a qualquer aplicativo ou arquivo de registro. As configurações de prisão SSH, que você pode encontrar no topo da lista de prisões, são habilitadas por padrão.

[sshd] enabled = true

Você pode habilitar quaisquer outros módulos de prisão da mesma forma editando o parâmetro ativado para a verdade.

Quando você habilitar todas as prisões desejadas, salve o arquivo de configuração e saia do editor. Então você precisará reiniciar o monitor com o seguinte comando

sudo service fail2ban restart

Com isso feito, agora você deve verificar suas regras de iptable para as seções de prisão recém-adicionadas em cada um dos módulos de aplicativo que você habilitou.

sudo iptables -L

Quaisquer endereços IP banidos aparecerão nas cadeias específicas em que as tentativas de login fracassadas ocorreram. Você também pode proibir manualmente e desbanir endereços IP dos serviços para os quais você definiu prisões com os seguintes comandos.

sudo fail2ban-client set <jail> banip/unbanip <ip address>
# Por exemplo
sudo fail2ban-client set sshd unbanip 83.136.253.43