In questo articolo, imparerai come cambiare il tempo di divieto in fail2ban e come vietare un indirizzo IP per sempre, se lo si desidera.
Nota
1. Prima di procedere, assicurati di avere privilegi sudo.
2. La procedura spiegata qui è stata testata su Ubuntu 22.04. Tuttavia, la stessa procedura può essere utilizzata anche su altre distribuzioni Linux.
Come installare fail2ban su Linux
Fail2Ban è disponibile nei repository del pacchetto di quasi ogni distribuzione Linux. È possibile installarlo utilizzando i pacchetti dei pacchetti delle tue distribuzioni Linux.
Su Ubuntu e Debian
Per installare Fail2Ban su distribuzioni basate su Debian come Ubuntu e Debian, usa il comando di seguito:
$ sudo apt install fail2ban
Su Centos, Fedora e Rhel
Per installare Fail2Ban su distribuzioni basate su RHEL come CentOS, Fedora e RHEL, utilizzare i comandi di seguito:
$ sudo dnf installa epel-release
$ sudo dnf installa fail2ban
Su manjaro e arch
Per installare Fail2Ban su distribuzioni basate su Arch come Manjaro e Arch, utilizzare il comando di seguito:
$ sudo pacman -sy fail2ban
Una volta installato, è possibile avviare Fail2Ban utilizzando il comando di seguito:
$ sudo systemctl avvia fail2ban
Per abilitare il servizio all'avvio, utilizzare il comando qui sotto:
$ sudo systemctl abilita fail2ban
Come cambiare il tempo di divieto in fail2ban
Come abbiamo affermato in precedenza, il tempo predefinito per il quale un indirizzo IP è vietato dopo che un numero specifico di tentativi di autenticazione non riuscita è di 10 minuti. Si consiglia di impostare il tempo di divieto abbastanza a lungo da scoraggiare i tentativi dannosi. Tuttavia, non dovrebbe essere troppo lungo perché l'utente legittimo venga erroneamente bandito per i suoi tentativi di autenticazione falliti. Puoi anche smettere manualmente un indirizzo IP legittimo piuttosto che aspettare che il tempo di divieto scada.
File di configurazione di Fail2Ban prigione.conf si trova a /etc/fail2ban. Tuttavia, non modificare direttamente questo file. Invece, copia il prigione.conf file a prigione.Locale file in /etc/fail2ban directory e apportare tutte le modifiche alla configurazione in questo nuovo file.
Per creare un prigione.Locale File, aprire il terminale ed eseguire il comando di seguito:
$ sudo cp/etc/fail2ban/prigione.conf/etc/fail2ban/prigione.Locale
Creerà un prigione.Locale File di configurazione sotto /etc/fail2ban directory.
2. È possibile modificare il tempo di divieto modificando il parametro bancato nel /etc/fail2ban/prigione.Locale file. Modificare il /etc/fail2ban/prigione.Locale File in qualsiasi editor di testo come Nano:
$ sudo nano/etc/fail2ban/prigione.Locale
3. Ora regola il valore del parametro bancato in base alle tue esigenze. Diciamo di vietare l'indirizzo IP per 20 secondi, impostare il valore di Bantime su 20. Allo stesso modo, per vietare l'indirizzo IP per 5 minuti, imposta il valore di Bantime a 300 secondi.
Bantime = 20
Una volta fatto, salva e chiudi il /etc/fail2ban/prigione.Locale file.
4. Dopo aver effettuato eventuali modifiche al file di configurazione di Fail2Ban, assicurarsi di riavviare il servizio per applicare le modifiche:
$ sudo systemctl riavvia fail2ban
Ora gli indirizzi IP saranno vietati per 20 secondi. Puoi anche vedere i registri di Fail2Ban per verificare questo:
$ cat/var/log/fail2ban.tronco d'albero
I registri Fail2Ban evidenziati nella schermata sopra verificano che un indirizzo IP 192.168.72.186 è vietato alle 01:14:14 e poi non si è unisce dopo 20 secondi alle 01:14:34.
Vieta permanentemente un indirizzo IP in fail2ban
Con Fail2Ban, puoi anche vietare permanentemente un indirizzo IP offensivo. Vediamo come realizzarlo:
1. Se hai già creato il prigione.Locale file, quindi puoi lasciare questo passaggio.
Creare prigione.Locale File usando questo comando in terminale:
$ sudo cp/etc/fail2ban/prigione.conf/etc/fail2ban/prigione.Locale
Ora il prigione.Locale è stato creato il file di configurazione.
2. Ora, per vietare permanentemente gli indirizzi IP, modificare il /etc/fail2ban/prigione.Locale File di configurazione utilizzando il comando di seguito:
$ sudo nano/etc/fail2ban/prigione.Locale
3. Per vietare permanentemente un indirizzo IP, impostare il valore bancario su -1.
Dopodiché, salva ed esci dal /etc/fail2ban/prigione.Locale file.
4. Riavvia il servizio Fail2Ban come segue:
$ sudo systemctl riavvia fail2ban
Successivamente, gli indirizzi IP che rendono il numero specifico di tentativi di connessione non riusciti verranno vietati permanentemente.
Ora salva e chiudi il file.
Tuttavia, ricorda che l'IPS permanentemente vietato non persisterà nel riavvio del sistema o del servizio. Per rendere persistenti questi divieti, dovrai eseguire qualche altro passaggio:
1. Modificare il /etc/fail2ban/prigione.Locale File usando il comando di seguito:
$ sudo nano/etc/fail2ban/prigione.Locale
Cerca il banca voce in questo file. La seguente screenshot mostra il banca È Iptables-MultiPort.
2. Modifica il file di banalità Iptables-MultiPort Usando il comando qui sotto:
$ sudo nano/etc/fail2ban/azione.D/iptables-MultiPort.conf
Sotto il Actionstart Voci predefinite, aggiungi le seguenti righe:
# Rendi persistenti i divieti
Cat/etc/fail2ban/ip.bandito | mentre leggi IP; do iptables -i fail2ban-1 -s $ ip -j drop; Fatto
E sotto il ActionBan Voci predefinite, aggiungi le seguenti righe:
# Rendi persistenti i divieti
echo '' >>/etc/fail2ban/ip.vietato
Puoi anche fare riferimento al seguente screenshot per chiarezza.
Quindi salva e chiudi il file e riavvia il servizio fail2ban:
$ sudo systemctl riavvia fail2ban
Fail2Ban aggiungerà l'IPS vietato a/etc/fail2ban/ip.File vietato. Puoi anche aggiungere manualmente IP a questo file. Gli IP vietati ora persisteranno nel riavvio del sistema o del servizio.
Questo è tutto ciò che c'è! In questo articolo, abbiamo spiegato come usare Fail2Ban; È possibile modificare il tempo di divieto o vietare un IP per sempre che non riesce ripetutamente ad autenticarsi.