|| бей в бубен

Настройка Fail2ban на Debian

Fail2ban - отслеживает IP адреса с которых производились неудачные повторяющиеся попытки получить доступ по какому-либо из сервисов (SSH, FTP, SMTP, Apache) сервера в файлах журналов.

Установка

из под root`а выполним:

aptitude install fail2ban

После установки Вы можете настроить fail2ban с помощью этих двух файлов, расположенных в /etc/fail2ban/

/etc/fail2ban/fail2ban.conf
/etc/fail2ban/jail.conf

Откроем jail.conf, что бы включить отслеживание сервисов.

nano /etc/fail2ban/jail.conf

Теперь можем включить или выключить нужные сервисы.

По умолчанию отслеживание SSH включено.

Если Вы хотите добавить отслеживание Apache измените:

#
# HTTP servers
#

[apache]

enabled = false
port    = http
filter  = apache-auth
logpath = /var/log/apache*/*access.log
maxretry = 6

на:

#
# HTTP servers
#

[apache]

enabled = true
port    = http
filter  = apache-auth
logpath = /var/log/apache2/*access.log
maxretry = 6

Для FTP (proftpd)

[proftpd]

enabled  = false
port     = ftp
filter   = proftpd
logpath  = /var/proftpd/proftp.log
maxretry = 6

изменим на
 

[proftpd]

enabled  = true
port     = ftp
filter   = proftpd
logpath  = /var/log/auth.log
maxretry = 3

Другие настройки

  • ignoreip - это разделенный пробелами список ip-адресов, которые не могут быть блокированы fail2ban. Сюда можно занести свою локальную машину или комьютер, с которого будут проводится эксперименты над системой
  • bantime - время в секунда, на которое блокируется хост.
  • maxretry - максимальное число ошибочных попыток доступа к сервису, прежде чем хост будет заблокирован fail2ban.
  • filter - имя соответствующего файла-фильтра в /etc/fail2ban/filter.d, без конечного .conf
  • action - имя соответствующего файла-реакции на срабатывание фильтра в /etc/fail2ban/action.d
  • logpath - файл логов, мониторинг которого осуществляет fail2ban, для проверки попыток атак.
  • enabled - может принимать значение true или false. Включено,выключено правило.

Поставив, достаточно простое средство, fail2ban вы увидите значительное сокращение log-файлов.