Come cambiare il tempo di divieto fail2ban, anche vietare per sempre se lo si desidera

Come cambiare il tempo di divieto fail2ban, anche vietare per sempre se lo si desidera
“Fail2Ban è un'applicazione di analisi del registro open source che impedisce al sistema di attacchi di forza bruta. Analizza i file di registro e blocca gli indirizzi IP che hanno troppi guasti di autenticazione. Questo di solito accade quando un utente tenta di accedere utilizzando il metodo di prova e errore. Fail2Ban quindi intraprende azioni come l'aggiornamento delle regole del firewall per vietare quell'indirizzo IP per un periodo di tempo specifico che è per impostazione predefinita di 10 minuti o 600 secondi. L'indirizzo IP vietato viene automaticamente non suscitato dopo 10 minuti per evitare di bloccare eventuali utenti legittimi che avrebbero potuto erroneamente sbarcare le loro password ripetutamente."

In questo articolo, imparerai come cambiare il tempo di divieto in fail2ban e come vietare un indirizzo IP per sempre, se lo si desidera.

Nota
1. Prima di procedere, assicurati di avere privilegi sudo.

2. La procedura spiegata qui è stata testata su Ubuntu 22.04. Tuttavia, la stessa procedura può essere utilizzata anche su altre distribuzioni Linux.

Come installare fail2ban su Linux

Fail2Ban è disponibile nei repository del pacchetto di quasi ogni distribuzione Linux. È possibile installarlo utilizzando i pacchetti dei pacchetti delle tue distribuzioni Linux.

Su Ubuntu e Debian

Per installare Fail2Ban su distribuzioni basate su Debian come Ubuntu e Debian, usa il comando di seguito:

$ sudo apt install fail2ban

Su Centos, Fedora e Rhel

Per installare Fail2Ban su distribuzioni basate su RHEL come CentOS, Fedora e RHEL, utilizzare i comandi di seguito:

$ sudo dnf installa epel-release
$ sudo dnf installa fail2ban

Su manjaro e arch

Per installare Fail2Ban su distribuzioni basate su Arch come Manjaro e Arch, utilizzare il comando di seguito:

$ sudo pacman -sy fail2ban

Una volta installato, è possibile avviare Fail2Ban utilizzando il comando di seguito:

$ sudo systemctl avvia fail2ban

Per abilitare il servizio all'avvio, utilizzare il comando qui sotto:

$ sudo systemctl abilita fail2ban

Come cambiare il tempo di divieto in fail2ban

Come abbiamo affermato in precedenza, il tempo predefinito per il quale un indirizzo IP è vietato dopo che un numero specifico di tentativi di autenticazione non riuscita è di 10 minuti. Si consiglia di impostare il tempo di divieto abbastanza a lungo da scoraggiare i tentativi dannosi. Tuttavia, non dovrebbe essere troppo lungo perché l'utente legittimo venga erroneamente bandito per i suoi tentativi di autenticazione falliti. Puoi anche smettere manualmente un indirizzo IP legittimo piuttosto che aspettare che il tempo di divieto scada.

File di configurazione di Fail2Ban prigione.conf si trova a /etc/fail2ban. Tuttavia, non modificare direttamente questo file. Invece, copia il prigione.conf file a prigione.Locale file in /etc/fail2ban directory e apportare tutte le modifiche alla configurazione in questo nuovo file.

Per creare un prigione.Locale File, aprire il terminale ed eseguire il comando di seguito:

$ sudo cp/etc/fail2ban/prigione.conf/etc/fail2ban/prigione.Locale

Creerà un prigione.Locale File di configurazione sotto /etc/fail2ban directory.

2. È possibile modificare il tempo di divieto modificando il parametro bancato nel /etc/fail2ban/prigione.Locale file. Modificare il /etc/fail2ban/prigione.Locale File in qualsiasi editor di testo come Nano:

$ sudo nano/etc/fail2ban/prigione.Locale

3. Ora regola il valore del parametro bancato in base alle tue esigenze. Diciamo di vietare l'indirizzo IP per 20 secondi, impostare il valore di Bantime su 20. Allo stesso modo, per vietare l'indirizzo IP per 5 minuti, imposta il valore di Bantime a 300 secondi.

Bantime = 20

Una volta fatto, salva e chiudi il /etc/fail2ban/prigione.Locale file.

4. Dopo aver effettuato eventuali modifiche al file di configurazione di Fail2Ban, assicurarsi di riavviare il servizio per applicare le modifiche:

$ sudo systemctl riavvia fail2ban

Ora gli indirizzi IP saranno vietati per 20 secondi. Puoi anche vedere i registri di Fail2Ban per verificare questo:

$ cat/var/log/fail2ban.tronco d'albero

I registri Fail2Ban evidenziati nella schermata sopra verificano che un indirizzo IP 192.168.72.186 è vietato alle 01:14:14 e poi non si è unisce dopo 20 secondi alle 01:14:34.

Vieta permanentemente un indirizzo IP in fail2ban

Con Fail2Ban, puoi anche vietare permanentemente un indirizzo IP offensivo. Vediamo come realizzarlo:

1. Se hai già creato il prigione.Locale file, quindi puoi lasciare questo passaggio.

Creare prigione.Locale File usando questo comando in terminale:

$ sudo cp/etc/fail2ban/prigione.conf/etc/fail2ban/prigione.Locale

Ora il prigione.Locale è stato creato il file di configurazione.

2. Ora, per vietare permanentemente gli indirizzi IP, modificare il /etc/fail2ban/prigione.Locale File di configurazione utilizzando il comando di seguito:

$ sudo nano/etc/fail2ban/prigione.Locale

3. Per vietare permanentemente un indirizzo IP, impostare il valore bancario su -1.

Dopodiché, salva ed esci dal /etc/fail2ban/prigione.Locale file.

4. Riavvia il servizio Fail2Ban come segue:

$ sudo systemctl riavvia fail2ban

Successivamente, gli indirizzi IP che rendono il numero specifico di tentativi di connessione non riusciti verranno vietati permanentemente.

Ora salva e chiudi il file.

Tuttavia, ricorda che l'IPS permanentemente vietato non persisterà nel riavvio del sistema o del servizio. Per rendere persistenti questi divieti, dovrai eseguire qualche altro passaggio:

1. Modificare il /etc/fail2ban/prigione.Locale File usando il comando di seguito:

$ sudo nano/etc/fail2ban/prigione.Locale

Cerca il banca voce in questo file. La seguente screenshot mostra il banca È Iptables-MultiPort.

2. Modifica il file di banalità Iptables-MultiPort Usando il comando qui sotto:

$ sudo nano/etc/fail2ban/azione.D/iptables-MultiPort.conf

Sotto il Actionstart Voci predefinite, aggiungi le seguenti righe:

# Rendi persistenti i divieti
Cat/etc/fail2ban/ip.bandito | mentre leggi IP; do iptables -i fail2ban- 1 -s $ ip -j drop; Fatto

E sotto il ActionBan Voci predefinite, aggiungi le seguenti righe:

# Rendi persistenti i divieti
echo '' >>/etc/fail2ban/ip.vietato

Puoi anche fare riferimento al seguente screenshot per chiarezza.

Quindi salva e chiudi il file e riavvia il servizio fail2ban:

$ sudo systemctl riavvia fail2ban

Fail2Ban aggiungerà l'IPS vietato a/etc/fail2ban/ip.File vietato. Puoi anche aggiungere manualmente IP a questo file. Gli IP vietati ora persisteranno nel riavvio del sistema o del servizio.

Questo è tutto ciò che c'è! In questo articolo, abbiamo spiegato come usare Fail2Ban; È possibile modificare il tempo di divieto o vietare un IP per sempre che non riesce ripetutamente ad autenticarsi.