Fail2ban – это служба предотвращения вторжений с открытым исходным кодом, которая блокирует IP-адреса, у которых было слишком много попыток входа в систему с неправильным паролем. По умолчанию период бана составляет 10 минут или 600 секунд. Он автоматически разблокирует IP-адрес через 10 минут, чтобы избежать блокировки любой законной системы, в которой, возможно, был ошибочно введен неправильный пароль. При желании вы можете легко изменить (увеличить или уменьшить) время бана по умолчанию.
В этом посте мы расскажем, как изменить время бана в fail2ban. Мы также расскажем, как навсегда заблокировать IP-адрес, если вам когда-нибудь это понадобится.
Предварительные условия:
- Пакет Fail2ban установлен в Linux
- Привилегированный пользователь Sudo
Изменить время бана в fail2ban
Как описано выше, время блокировки по умолчанию в fail2ban составляет 10 минут. Время блокировки – это промежуток времени (в секундах), в течение которого IP-адрес блокируется после определенного количества неудачных попыток аутентификации. Предпочтительно установить это время, достаточное для прерывания злонамеренных действий пользователя. Однако не должно быть слишком много времени, чтобы законный пользователь был ошибочно забанен за неудачные попытки аутентификации. Обратите внимание, что когда законный пользователь забанен, вы также можете вручную разблокировать его, вместо того, чтобы ждать, пока истечет время блокировки.
Время бана можно изменить, настроив параметр bantime в файле конфигурации fail2ban. Fail2ban поставляется с файлом конфигурации jail.conf в каталоге /etc/fail2ban. Однако не рекомендуется редактировать этот файл напрямую. Вместо этого, чтобы изменить какие-либо конфигурации, вам нужно будет создать файл jail.local.
1. Если вы уже создали файл jail.local, то можете оставить этот шаг. Создайте файл jail.local с помощью этой команды в Терминале:
$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Теперь файл конфигурации jail.local создан.
2. Теперь, чтобы изменить время запрета, вам нужно будет настроить bantime параметр в файла jail.local. Для этого отредактируйте файл jail.local следующим образом:
$ sudo nano /etc/fail2ban/jail.local
3. Измените значение параметра bantime на желаемое. Например, чтобы заблокировать IP-адреса, скажем, на 20 секунд , вам нужно будет изменить существующее значение bantime на 20. Затем сохраните и выйдите из файла jail.local.
4. Перезапустите службу fail2ban следующим образом:
$ sudo systemctl restart fail2ban
После этого те IP-адреса, которые сделали определенное количество неудачных попыток подключения, будут заблокированы на 20 секунд. Вы также можете подтвердить это, посмотрев логи:
$ cat /var/log/fail2ban.log
Приведенные выше журналы подтверждают, что разница во времени между блокировкой и разблокировкой составляет 20 секунд.
Забанить IP-адрес навсегда в fail2ban
Вы также можете навсегда заблокировать исходный IP-адрес в fail2ban. Для этого выполните следующие действия:
1. Если вы уже создали файл jail.local , то можете оставить этот шаг. Создайте файл jail.local с помощью этой команды в Терминале:
$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Теперь файл конфигурации jail.local создан.
2. Теперь, чтобы навсегда заблокировать IP-адреса, вам нужно будет изменить значение параметра bantime на -1. Для этого сначала отредактируйте файл конфигурации jail.local следующим образом:
$ sudo nano /etc/fail2ban/jail.local
3. Теперь, чтобы навсегда заблокировать IP-адреса, измените существующее значение параметра bantime на -1.
Затем сохраните и выйдите из файла jail.local.
4. Перезапустите службу fail2ban следующим образом:
$ sudo systemctl restart fail2ban
После этого IP-адреса, которые сделали определенное количество неудачных попыток подключения, будут навсегда заблокированы.
Это все! В этом посте описывается, как изменить время блокировки или навсегда заблокировать исходный IP-адрес, совершающий неправильные попытки аутентификации с помощью fail2ban.