Todo o servidor Linux aberto à Internet é constantemente verificado por bots automatizados. Estes bots tentam fazer login no serviço SSH especialmente pelo método de tentativa e erro. Este tipo de ataque ataque de força bruta É chamado.

O Fail2Ban rastreia tentativas de login mal sucedidas em ficheiros de registo. Proíbe automaticamente os endereços IP que introduzem incorretamente mais do que o número especificado. Desta forma, o atacante não poderá tentar a palavra-passe repetidamente no mesmo IP.

1.º O que faz o Fail2Ban?

• O SSH reduz os ataques de força bruta.
• Proíbe endereços IP que introduzam um grande número de entradas incorretas.
• Executa ações automáticas monitorizando os logs do servidor.
• Funciona em conjunto com a firewall para bloquear o tráfego de ataque.
• Também pode ser utilizado para painéis de servidores de jogos, logins em painéis web e serviços de e-mail.

2. Instalação Fail2Ban

Em sistemas baseados em Ubuntu e Debian:

apt update
apt install fail2ban -y

Em sistemas CentOS, AlmaLinux ou Rocky Linux:

yum install epel-release -y
yum install fail2ban -y

Para iniciar o serviço e executá-lo automaticamente no arranque:

systemctl enable fail2ban
systemctl start fail2ban
systemctl status fail2ban

3. Copie o ficheiro de definições padrão

Configurações Fail2Ban diretamente prisão.conf Não deve ser editado no ficheiro. Porque este ficheiro pode mudar nas atualizações. em vez disso prisão.local ficheiro é criado.

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Em seguida edite o ficheiro:

nano /etc/fail2ban/jail.local

4. Ativando proteção SSH

em arquivo [sshd] Encontre a secção e edite-a da seguinte forma:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 10m
bantime = 1h

Esta configuração significa:

• tentativa máxima = 5: A ação é tomada após 5 entradas incorretas.
• tempo de localização = 10m: As tentativas são contabilizadas num período de 10 minutos.
• horário de banimento = 1h: O endereço IP é banido por 1 hora.

5.º Listando o seu próprio endereço IP na lista segura

Se utilizar IP fixo, pode eliminar o seu próprio endereço IP do sistema de banimento.

ignoreip = 127.0.0.1/8 192.168.1.1 SUNUCUYA_BAGLANDIGINIZ_IP

aqui IP AO QUAL ESTÁ LIGADO AO SERVIDOR Deve escrever o seu endereço IP real no campo.

6. Reiniciando o serviço Fail2Ban

systemctl restart fail2ban

Para verificar o estado:

fail2ban-client status

Para ver o estado da prisão SSH:

fail2ban-client status sshd

7. Vendo endereços IP banidos

fail2ban-client status sshd

na saída Lista de IP banidos Os endereços IP banidos aparecem no campo.

8.º Abrindo endereço IP banido acidentalmente

Se o seu próprio endereço IP ou o endereço IP de um utilizador fidedigno tiver sido banido por engano, pode removê-lo com o seguinte comando:

fail2ban-client set sshd unbanip IP_ADRESI

Erros Comuns

• Editando o ficheiro jail.conf diretamente
• Não adicionar o seu próprio endereço IP ao campo ignoreip
• Não alterar a configuração da porta Fail2Ban mesmo que a porta SSH tenha sido alterada
• Introduzir incorretamente o caminho do ficheiro de registo
• Pensar que o Fail2Ban está ativo e não verificar o estado do serviço

Perguntas frequentes

O Fail2Ban, por si só, fornece segurança suficiente?
Não. O Fail2Ban é uma importante camada de proteção, mas deve ser utilizado em conjunto com uma palavra-passe forte, sistema atualizado, firewall e configuração correta do serviço.

O Fail2Ban protege o servidor do jogo?
Não analisa diretamente o tráfego do jogo. No entanto, pode fornecer proteção através de SSH, painel, serviços web e alguns registos de login.

Posso aumentar a duração do ban?
Sim. Pode definir o valor do bantime para períodos mais longos, como 24h, 7d em vez de 1h.

Recomendações de segurança

• Desative o login root.
• Utilize uma palavra-passe forte e exclusiva.
• Se possível, inicie sessão com a chave SSH.
• Verifique os registos do Fail2Ban regularmente.
• Não deixe serviços desnecessários abertos na Internet.

Este artigo foi preparado especialmente para o PvPServer.