Fail2ban – skuteczna ochrona serwera Linux przed atakami brute-force

🔥 Co to jest Fail2ban?

Fail2ban to narzędzie monitorujące logi systemowe (np. /var/log/auth.log) i blokujące adresy IP, które wykazują podejrzane zachowanie, np. wielokrotne nieudane próby logowania przez SSH, FTP, czy inne usługi. Automatycznie dodaje reguły do firewall (iptables/nftables), by zablokować złośliwy ruch.

🛠️ Instalacja Fail2ban

Na Debianie/Ubuntu:

sudo apt update
sudo apt install fail2ban

Na Red Hat/CentOS/Fedora:

sudo dnf install fail2ban

⚙️ Podstawowa konfiguracja

1. Skopiuj domyślny plik konfiguracyjny do pliku lokalnego, by łatwo wprowadzać zmiany bez nadpisywania:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

2. Edytuj plik /etc/fail2ban/jail.local:

sudo nano /etc/fail2ban/jail.local

🔧 Konfiguracja podstawowa SSH

W sekcji [sshd] ustaw:

[sshd]
enabled = true
port = 22
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600
findtime = 600

• enabled – włącz monitoring SSH
• maxretry – ile nieudanych prób do blokady
• bantime – czas blokady w sekundach (tutaj 1 godzina)
• findtime – czas, w którym liczone są nieudane próby (10 minut)

🛡️ Dodawanie innych usług

Fail2ban działa również dla wielu innych serwisów (np. vsftpd, apache, postfix). Aby je włączyć, dodaj odpowiednie sekcje i ustawienia w jail.local.

🔄 Uruchom i sprawdź status

sudo systemctl enable fail2ban
sudo systemctl start fail2ban
sudo systemctl status fail2ban

📋 Podstawowe komendy Fail2ban

• Lista zablokowanych IP:

sudo fail2ban-client status sshd

• Odblokowanie IP:

sudo fail2ban-client set sshd unbanip 192.168.1.100

• Zablokowanie IP ręcznie:

sudo fail2ban-client set sshd banip 192.168.1.100

📌 Wskazówki bezpieczeństwa

• Ustaw bantime i maxretry odpowiednio do potrzeb — zbyt krótkie może zablokować legitne próby, zbyt długie może być nieskuteczne.
• Monitoruj logi Fail2ban (/var/log/fail2ban.log) i dostosuj filtry jeśli coś nie działa.
• W połączeniu z firewallem (ufw lub nftables) zyskujesz bardzo skuteczną ochronę.
• Możesz integrować Fail2ban z alertami email lub systemami SIEM.

✅ Podsumowanie

Fail2ban to lekki, ale potężny mechanizm, który skutecznie ogranicza ryzyko ataków brute-force i automatycznie chroni serwer przed niepożądanym ruchem. Jego instalacja i konfiguracja to obowiązkowy krok na każdym serwerze Linux dostępnym publicznie.

Polecane wpisy

Implementacja algorytmów szyfrujących w oprogramowaniu: pułapki i dobre praktyki

🔐 Implementacja algorytmów szyfrujących w oprogramowaniu: pułapki i dobre praktyki Implementacja algorytmów szyfrujących w oprogramowaniu jest kluczowym procesem w zapewnianiu Czytaj dalej

Bezpieczny serwer FTP (vsftpd z SSL/TLS) – szyfrowanie i konfiguracja

Bezpieczny serwer FTP (vsftpd z SSL/TLS) – szyfrowanie i konfiguracja Bezpieczeństwo w transmisji danych to kluczowy element każdej infrastruktury IT. Czytaj dalej