Come installare fail2ban Ubuntu e mettere una jail su SSH

Fail2ban è uno strumento open source che cerca tentativi di accesso SSH non riusciti nei registri SSH e vieta l’indirizzo IP di attacco per un periodo di tempo specifico utilizzando iptables o nullroute. L’installazione e la configurazione di Fail2Ban è piuttosto semplice. Se stai usando Ubuntu o Debian puoi semplicemente installare il pacchetto Fail2Ban dal repository usando apt-get:

sudo apt-get install fail2ban

Il file di configurazione di Fail2Ban si trova solitamente in /etc/fail2ban/jail.conf.

Ci sono varie opzioni che puoi configurare, ad esempio l’indirizzo email a cui devono essere inviate le notifiche o l’azione di ban predefinita (di solito iptables-multiport che significa che l’indirizzo IP dell’attacco sarà bloccato su tutte le porte usando iptables).

Per impostazione predefinita, Fail2Ban controlla il registro SSH che si trova in /var/log/auth.log per tentativi di accesso non riusciti. Se Fail2Ban è configurato correttamente, dovresti vedere qualcosa di simile nel tuo file di configurazione di Fail2Ban:

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

Con l’opzione abilitata puoi definire se la regola/filtro è attiva o meno (vero o falso). Il filtro delle opzioni definisce la configurazione del filtro utilizzata da questa regola.

I file di configurazione del filtro si trovano in /etc/fail2ban/filter.d/ .

Fondamentalmente ciò che fa questa regola/filtro è monitorare il log SSH auth.log e vietare l’indirizzo IP di attacco dopo 6 tentativi di accesso falliti per 600 secondi (vedi opzione bantime) usando iptables (vedi opzione banaction).

Se vuoi monitorare le attività di Fail2Ban potresti voler controllare il file di log che viene prodotto da Fail2Ban: di solito si trova in /var/log/fail2ban.log

Se sei interessato a Fail2Ban puoi trovare maggiori informazioni sul sito web del progetto Fail2Ban: http://www.fail2ban.org/wiki/index.php/README

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.