Fail2ban offre una protezione base ma pur sempre efficace anche se un server non sarebbe al sicuro neppure spento

Fail2ban aiuta a prevenire attacchi Brute Force analizzando i vari log file (SSH, Apache, Nginx, Webmin, ecc…) e riconoscendo tramite dei filtri quegli IP che possono essere associati ad azioni dannose quali ad esempio troppi tentativi di autenticazione errati. L’azione principale è inserire questi ip in una lista di BAN di modo che non possano più accedere al servizio.

In questo articolo descriveremo come installare fail2ban e fare una prima configurazione base per prevenire accessi di brute force su SSH.

Installazione, nella speranza che non accediate direttamente con utente di root aggiungiamo il comando sudo:

Copia negli Appunti

Dopo l’installazione il servizio viene automaticamente avviato, potete vedere lo stato digitando il comando:

Copia negli Appunti

Il file di configurazione tendenzialmente è il seguente /etc/fail2ban/jail.conf ma è bene non modificarlo, eventualmente potete creare un file jail.local nella stessa cartella che sovrascriverà le impostazioni del .conf. Potete quindi creare il file /etc/fail2ban/jail.local vuoto, oppure copiare tutto il .conf tramite il seguente comando:

Copia negli Appunti

Aggiungiamo la configurazione nel file jail.local appena creato:

Copia negli Appunti
Copia negli Appunti

Nel dettaglio:

  • maxretry – numero di errori di login prima del ban (dipende da findtime)
  • findtime – durata del monitoraggio entro il quale raggiungendo il numero di errori di login, specificato nel maxretry, viene creato il ban (valore in secondi)
  • bantime – durata del ban (valore in secondi)
  • ignoreip – lista di indirizzi ip da ignorare separati da uno spazio

Alcuni comandi utili:

Copia negli Appunti

Condividi questo articolo, scegli tu dove!