Fail2ban – skuteczna ochrona serwera Linux przed atakami brute-force

🔥 Co to jest Fail2ban?

Fail2ban to narzędzie monitorujące logi systemowe (np. /var/log/auth.log) i blokujące adresy IP, które wykazują podejrzane zachowanie, np. wielokrotne nieudane próby logowania przez SSH, FTP, czy inne usługi. Automatycznie dodaje reguły do firewall (iptables/nftables), by zablokować złośliwy ruch.

🛠️ Instalacja Fail2ban

Na Debianie/Ubuntu:

sudo apt update
sudo apt install fail2ban

Na Red Hat/CentOS/Fedora:

sudo dnf install fail2ban

⚙️ Podstawowa konfiguracja

1. Skopiuj domyślny plik konfiguracyjny do pliku lokalnego, by łatwo wprowadzać zmiany bez nadpisywania:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

2. Edytuj plik /etc/fail2ban/jail.local:

sudo nano /etc/fail2ban/jail.local

🔧 Konfiguracja podstawowa SSH

W sekcji [sshd] ustaw:

[sshd]
enabled = true
port = 22
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600
findtime = 600

• enabled – włącz monitoring SSH
• maxretry – ile nieudanych prób do blokady
• bantime – czas blokady w sekundach (tutaj 1 godzina)
• findtime – czas, w którym liczone są nieudane próby (10 minut)

🛡️ Dodawanie innych usług

Fail2ban działa również dla wielu innych serwisów (np. vsftpd, apache, postfix). Aby je włączyć, dodaj odpowiednie sekcje i ustawienia w jail.local.

🔄 Uruchom i sprawdź status

sudo systemctl enable fail2ban
sudo systemctl start fail2ban
sudo systemctl status fail2ban

📋 Podstawowe komendy Fail2ban

• Lista zablokowanych IP:

sudo fail2ban-client status sshd

• Odblokowanie IP:

sudo fail2ban-client set sshd unbanip 192.168.1.100

• Zablokowanie IP ręcznie:

sudo fail2ban-client set sshd banip 192.168.1.100

📌 Wskazówki bezpieczeństwa

• Ustaw bantime i maxretry odpowiednio do potrzeb — zbyt krótkie może zablokować legitne próby, zbyt długie może być nieskuteczne.
• Monitoruj logi Fail2ban (/var/log/fail2ban.log) i dostosuj filtry jeśli coś nie działa.
• W połączeniu z firewallem (ufw lub nftables) zyskujesz bardzo skuteczną ochronę.
• Możesz integrować Fail2ban z alertami email lub systemami SIEM.

✅ Podsumowanie

Fail2ban to lekki, ale potężny mechanizm, który skutecznie ogranicza ryzyko ataków brute-force i automatycznie chroni serwer przed niepożądanym ruchem. Jego instalacja i konfiguracja to obowiązkowy krok na każdym serwerze Linux dostępnym publicznie.

Polecane wpisy

Jak stworzyć lokalny serwer DNS w Linuksie za pomocą Bind9 lub dnsmasq – konfiguracja krok po kroku

🌐 Jak stworzyć lokalny serwer DNS w Linuksie za pomocą Bind9 lub dnsmasq – konfiguracja krok po kroku Lokalny serwer Czytaj dalej

Metody wykrywania i usuwania ukrytego rootkita i malware w Linuxie

🧬 Metody wykrywania i usuwania ukrytego rootkita i malware w Linuxie 🧭 Wprowadzenie Systemy operacyjne Linux, chociaż często uznawane za Czytaj dalej