Sikre en server med Fail2ban

Fail2ban overvåker systemlogger for symptomer på automatiserte angrep. Når et angrepsforsøk identifiseres vil Fail2ban legge til regler i iptables for å blokkere IP-adressen(e) som benyttes i angrepet. Fail2ban kan også varsle deg per epost om et pågående angrep.

Fail2ban fokuserer primært på SSH-angrep, men kan brukes på enhver tjeneste som kan være et angrepsmål, og som genererer tilstrekkelige loggdata.

Installere Fail2ban på Ubuntu 18.04 LTS

apt update
apt install fail2ban

Dette laster ned og installerer Fail2ban på din server. Vi må nå konfigurere Fail2ban til å oppføre seg slik vi vil:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
vi /etc/fail2ban/jail.local

Du bør gjøre følgende endringer:

Default

bantime => 36h
maxretry => 3
ignoreip => Uncomment, add all ip's that you will connect from, separate with space or comma.

Lagre konfigurasjonen og start Fail2ban på nytt:

systemctl restart fail2ban

Du kan verifisere at installasjonen fungerer ved å sjekke /var/log/fail2ban.log etter en stund. Se etter linjer som dette:

NOTICE [sshd] Ban <ip address>

Varsling per epost

Varsling per epost krever at du installerer Sendmail:

apt install sendmail

Dersom du gjør dette skal du endre følgende variabler i jail.local:

 destemail - Set to destination email
sendername - Set to sender name
sender - Email address of sender

I tillegg må du endre  action variable til %(action_mwl)s (siste variabel i [DEFAULT]), og til slutt starte Fail2ban på nytt:

systemctl restart fail2ban

 

Har du flere spørsmål? Send oss en henvendelse