Fiecare server Linux deschis pe internet este scanat constant de roboti automati. Acești roboți încearcă în special să se conecteze la serviciul SSH prin metoda de încercare și eroare. Acest tip de atac atac cu forță brută Se numeste.

Fail2Ban urmărește încercările de conectare nereușite din fișierele jurnal. Interzice automat adresele IP care introduc incorect mai mult decât numărul specificat. În acest fel, atacatorul nu poate încerca parola în mod repetat pe același IP.

1. Ce face Fail2Ban?

• SSH reduce atacurile de forță brută.
• Interzice adresele IP care introduc un număr mare de intrări incorecte.
• Ia măsuri automate prin monitorizarea jurnalelor de server.
• Funcționează împreună cu firewall-ul pentru a bloca traficul de atac.
• Poate fi folosit și pentru panourile serverului de jocuri, autentificări la panouri web și servicii de e-mail.

2. Instalare Fail2Ban

Pe sistemele bazate pe Ubuntu și Debian:

apt update
apt install fail2ban -y

Pe sistemele CentOS, AlmaLinux sau Rocky Linux:

yum install epel-release -y
yum install fail2ban -y

Pentru a porni serviciul și a rula automat la pornire:

systemctl enable fail2ban
systemctl start fail2ban
systemctl status fail2ban

3. Copiați fișierul cu setări implicite

Setări Fail2Ban direct închisoare.conf Nu trebuie editat în fișier. Deoarece acest fișier se poate modifica în actualizări. în schimb închisoare.local fișierul este creat.

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Apoi editați fișierul:

nano /etc/fail2ban/jail.local

4. Activarea protecției SSH

în dosar [sshd] Găsiți secțiunea și editați-o după cum urmează:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 10m
bantime = 1h

Această setare înseamnă:

• maxretry = 5: Se iau măsuri după 5 intrări incorecte.
• timp de găsire = 10m: Încercările sunt numărate într-o perioadă de 10 minute.
• bantime = 1h: Adresa IP este interzisă timp de 1 oră.

5. Listarea în siguranță a propriei adrese IP

Dacă utilizați IP fix, vă puteți exclude propria adresă IP din sistemul de interdicție.

ignoreip = 127.0.0.1/8 192.168.1.1 SUNUCUYA_BAGLANDIGINIZ_IP

aici IP LA CARE ESTI CONECTAT LA SERVER Trebuie să scrieți adresa IP reală în câmp.

6. Repornirea serviciului Fail2Ban

systemctl restart fail2ban

Pentru a verifica starea:

fail2ban-client status

Pentru a vedea starea închisorii SSH:

fail2ban-client status sshd

7. Vederea adreselor IP interzise

fail2ban-client status sshd

la ieșire Lista IP interzisă Adresele IP interzise apar în câmp.

8. Deschiderea adresei IP interzise accidental

Dacă adresa dvs. IP sau adresa IP a unui utilizator de încredere a fost interzisă din greșeală, o puteți elimina cu următoarea comandă:

fail2ban-client set sshd unbanip IP_ADRESI

Greșeli comune

• Editarea directă a fișierului jail.conf
• Nu adăugarea propriei adrese IP în câmpul ignoreip
• Nu se modifică setarea portului Fail2Ban chiar dacă portul SSH este schimbat
• Se tastează greșit calea fișierului jurnal
• Gândind că Fail2Ban este activ și nu verifică starea serviciului

Întrebări frecvente

Numai Fail2Ban oferă suficientă securitate?
Nu. Fail2Ban este un nivel important de protecție, dar ar trebui utilizat împreună cu o parolă puternică, un sistem actualizat, un firewall și o configurare corectă a serviciului.

Fail2Ban protejează serverul de joc?
Nu analizează direct traficul jocului. Cu toate acestea, poate oferi protecție prin SSH, panou, servicii web și unele jurnale de conectare.

Pot să măresc durata interzicerii?
Da. Puteți seta valoarea bantime la perioade mai lungi, cum ar fi 24h, 7d în loc de 1h.

Recomandări de securitate

• Dezactivați autentificarea root.
• Utilizați o parolă puternică și unică.
• Dacă este posibil, conectați-vă cu cheia SSH.
• Verificați periodic jurnalele Fail2Ban.
• Nu lăsați serviciile inutile deschise pe internet.

Acest articol este pregătit special pentru PvPServer.