Elke Linux-server die open is voor internet, wordt voortdurend gescand door geautomatiseerde bots. Deze bots proberen vooral met vallen en opstaan ​​in te loggen op de SSH-service. Dit type aanval aanval met brute kracht Het wordt genoemd.

Fail2Ban volgt mislukte inlogpogingen op basis van logbestanden. Het verbiedt automatisch IP-adressen die meer onjuist invoeren dan het opgegeven aantal. Op deze manier kan de aanvaller het wachtwoord niet herhaaldelijk proberen via hetzelfde IP-adres.

1. Wat doet Fail2Ban?

• SSH vermindert brute force-aanvallen.
• Het verbiedt IP-adressen die een groot aantal onjuiste gegevens invoeren.
• Er wordt automatisch actie ondernomen door serverlogboeken te monitoren.
• Het werkt samen met de firewall om aanvalsverkeer te blokkeren.
• Het kan ook worden gebruikt voor gameserverpanelen, webpaneelaanmeldingen en e-maildiensten.

2. Fail2Ban-installatie

Op op Ubuntu en Debian gebaseerde systemen:

apt update
apt install fail2ban -y

Op CentOS-, AlmaLinux- of Rocky Linux-systemen:

yum install epel-release -y
yum install fail2ban -y

Om de service te starten en deze automatisch te laten uitvoeren bij het opstarten:

systemctl enable fail2ban
systemctl start fail2ban
systemctl status fail2ban

3. Kopieer het bestand met standaardinstellingen

Fail2Ban-instellingen rechtstreeks jail.conf Het mag niet in het bestand worden bewerkt. Omdat dit bestand kan veranderen in updates. in plaats daarvan gevangenis.lokaal bestand wordt aangemaakt.

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Bewerk vervolgens het bestand:

nano /etc/fail2ban/jail.local

4. SSH-beveiliging inschakelen

in bestand [sshd] Zoek de sectie en bewerk deze als volgt:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 10m
bantime = 1h

Deze instelling betekent:

• maxretry = 5: Na 5 onjuiste invoer wordt actie ondernomen.
• vindtijd = 10m: Pogingen worden binnen een periode van 10 minuten geteld.
• bantime = 1u: Het IP-adres wordt gedurende 1 uur verbannen.

5. Uw eigen IP-adres op de veilige lijst zetten

Als u een vast IP-adres gebruikt, kunt u uw eigen IP-adres uitsluiten van het verbanningssysteem.

ignoreip = 127.0.0.1/8 192.168.1.1 SUNUCUYA_BAGLANDIGINIZ_IP

hier IP-adres waarmee u bent verbonden met de server U moet uw echte IP-adres in het veld schrijven.

6. Fail2Ban-service opnieuw starten

systemctl restart fail2ban

Om de status te controleren:

fail2ban-client status

Om de SSH-gevangenisstatus te zien:

fail2ban-client status sshd

7. Verboden IP-adressen zien

fail2ban-client status sshd

op uitgang Verboden IP-lijst Verboden IP-adressen verschijnen in het veld.

8. Per ongeluk verboden IP-adres openen

Als uw eigen IP-adres of het IP-adres van een vertrouwde gebruiker per ongeluk is geblokkeerd, kunt u dit met het volgende commando verwijderen:

fail2ban-client set sshd unbanip IP_ADRESI

Veelvoorkomende fouten

• Het jail.conf-bestand rechtstreeks bewerken
• Voeg uw eigen IP-adres niet toe aan het negeerip-veld
• De Fail2Ban-poortinstelling niet wijzigen, ook al is de SSH-poort gewijzigd
• Verkeerd typen van het logbestandpad
• Denken dat Fail2Ban actief is en de servicestatus niet controleren

Veelgestelde vragen

Biedt Fail2Ban alleen voldoende veiligheid?
Nee. Fail2Ban is een belangrijke beschermingslaag, maar moet worden gebruikt in combinatie met een sterk wachtwoord, een up-to-date systeem, een firewall en een correcte serviceconfiguratie.

Beschermt Fail2Ban de spelserver?
Het analyseert het gameverkeer niet rechtstreeks. Het kan echter bescherming bieden via SSH, paneel, webservices en enkele inloglogboeken.

Kan ik de duur van de ban verlengen?
Ja. U kunt de bantime-waarde instellen op langere perioden, zoals 24 uur, 7 dagen in plaats van 1 uur.

Beveiligingsaanbevelingen

• Schakel root-login uit.
• Gebruik een sterk en uniek wachtwoord.
• Log indien mogelijk in met de SSH-sleutel.
• Controleer de Fail2Ban-logboeken regelmatig.
• Laat onnodige diensten niet openstaan voor het internet.

Dit artikel is speciaal opgesteld voor PvPServer.