Fail2ban - відслідковування IP адрес з котрих проводились помилкові повторювані спроби отримати доступ до будь-якого з сервісів (SSH, FTP, SMTP, Apache) серверу у файлах журналів.
Встановлення
під root`ом виконаємо:
aptitude install fail2ban
Після встановлення ви можете налаштувати fail2ban за допомогою цих двох файлів, що містяться в /etc/fail2ban/
/etc/fail2ban/fail2ban.conf /etc/fail2ban/jail.conf
Відкриємо jail.conf, щоб увімкнути відслідковування сервісів.
nano /etc/fail2ban/jail.conf
Тепер можемо увімкнути або вимкнути потрібні сервіси.
За замовчуванням відслідковування SSH увімкнено.
Якщо ви хочете додати відслідковування Apache, змініть:
# # HTTP servers # [apache] enabled = false port = http filter = apache-auth logpath = /var/log/apache*/*access.log maxretry = 6
на:
# # HTTP servers # [apache] enabled = true port = http filter = apache-auth logpath = /var/log/apache2/*access.log maxretry = 6
Для FTP (proftpd)
[proftpd] enabled = false port = ftp filter = proftpd logpath = /var/proftpd/proftp.log maxretry = 6
замінимо на
[proftpd] enabled = true port = ftp filter = proftpd logpath = /var/log/auth.log maxretry = 3
Інші налаштування
- ignoreip - це список ip-адрес (роздільник пробіл), котрі не можуть бути заблоковані fail2ban. Сюди можна занести свою локальну адресу, з котрої будуть проводитись експерименти над системою
- bantime - час в секундах, на котре хост буде заблоковано.
- maxretry - максимальне число помилкових спроб доступу до сервісу, перед тим як хост буде заблоковано fail2ban.
- filter - ім'я відповідного файлу-фільтру в /etc/fail2ban/filter.d, без розширення .conf
- action - ім'я відповідного файлу-реакції на спрацювання фільтру в /etc/fail2ban/action.d
- logpath - файл логів, моніторинг котрого здійснюється fail2ban, для перевірки спроб атак.
- enabled - може приймати значення true або false. Увімкнено, вимкнено правило.
Встановивши достатньо простий засіб fail2ban ви пересвідчитесь з значному скороченні log-файлів.