Varje Linux-server som är öppen för internet skannas ständigt av automatiserade bots. Dessa bots försöker särskilt logga in på SSH-tjänsten genom att testa och fela. Denna typ av attack brute force attack Det kallas.

Fail2Ban spårar misslyckade inloggningsförsök från loggfiler. Den förbjuder automatiskt IP-adresser som anger felaktigt mer än det angivna antalet. På så sätt kan angriparen inte prova lösenordet upprepade gånger över samma IP.

1. Vad gör Fail2Ban?

• SSH minskar brute force attacker.
• Det förbjuder IP-adresser som anger ett stort antal felaktiga poster.
• Den vidtar automatiska åtgärder genom att övervaka serverloggar.
• Den fungerar tillsammans med brandväggen för att blockera attacktrafik.
• Den kan också användas för spelserverpaneler, webbpanelinloggningar och e-posttjänster.

2. Fail2Ban-installation

På Ubuntu- och Debianbaserade system:

apt update
apt install fail2ban -y

På CentOS, AlmaLinux eller Rocky Linux-system:

yum install epel-release -y
yum install fail2ban -y

Så här startar du tjänsten och kör den automatiskt vid start:

systemctl enable fail2ban
systemctl start fail2ban
systemctl status fail2ban

3. Kopiera filen med standardinställningar

Fail2Ban-inställningar direkt jail.conf Det ska inte redigeras i filen. Eftersom den här filen kan ändras i uppdateringar. istället fängelse.lokal filen skapas.

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Redigera sedan filen:

nano /etc/fail2ban/jail.local

4. Aktivera SSH-skydd

i fil [sshd] Hitta avsnittet och redigera det enligt följande:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 10m
bantime = 1h

Denna inställning betyder:

• maxförsök = 5: Åtgärd vidtas efter 5 felaktiga inmatningar.
• fyndtid = 10m: Försök räknas inom en 10-minutersperiod.
• bantid = 1h: IP-adressen är förbjuden i 1 timme.

5. Säkra din egen IP-adress

Om du använder fast IP kan du utesluta din egen IP-adress från bansystemet.

ignoreip = 127.0.0.1/8 192.168.1.1 SUNUCUYA_BAGLANDIGINIZ_IP

här IP SOM DU ÄR ANSLUTEN TILL SERVERN Du måste skriva din riktiga IP-adress i fältet.

6. Startar om Fail2Ban-tjänsten

systemctl restart fail2ban

Så här kontrollerar du status:

fail2ban-client status

För att se SSH-fängelsestatus:

fail2ban-client status sshd

7. Se förbjudna IP-adresser

fail2ban-client status sshd

på utgång Förbjudna IP-lista Förbjudna IP-adresser visas i fältet.

8. Öppnar oavsiktligt förbjuden IP-adress

Om din egen IP-adress eller IP-adressen för en betrodd användare har förbjudits av misstag, kan du ta bort den med följande kommando:

fail2ban-client set sshd unbanip IP_ADRESI

Vanliga misstag

• Redigera jail.conf-filen direkt
• Lägger inte till din egen IP-adress i ignoreip-fältet
• Ändrar inte inställningen för Fail2Ban-porten trots att SSH-porten har ändrats
• Har skrivit in sökvägen till loggfilen felaktigt
• Tänker att Fail2Ban är aktivt och kollar inte tjänstens status

FAQ

Ger Fail2Ban enbart tillräcklig säkerhet?
Nej. Fail2Ban är ett viktigt skyddsskikt, men det bör användas tillsammans med ett starkt lösenord, uppdaterat system, brandvägg och korrekt tjänstekonfiguration.

Skyddar Fail2Ban spelservern?
Den analyserar inte speltrafiken direkt. Det kan dock ge skydd genom SSH, panel, webbtjänster och vissa inloggningsloggar.

Kan jag öka förbudets varaktighet?
Ja. Du kan ställa in bantime-värdet på längre perioder som 24h, 7d istället för 1h.

Säkerhetsrekommendationer

• Stäng av root-inloggning.
• Använd ett starkt och unikt lösenord.
• Om möjligt, logga in med SSH-nyckel.
• Kontrollera Fail2Ban-loggar regelbundet.
• Lämna inte onödiga tjänster öppna för internet.

Den här artikeln är speciellt förberedd för PvPServer.