Fail2ban overvåker systemlogger for symptomer på automatiserte angrep. Når et angrepsforsøk identifiseres vil Fail2ban legge til regler i iptables for å blokkere IP-adressen(e) som benyttes i angrepet. Fail2ban kan også varsle deg per epost om et pågående angrep.
Fail2ban fokuserer primært på SSH-angrep, men kan brukes på enhver tjeneste som kan være et angrepsmål, og som genererer tilstrekkelige loggdata.
Installere Fail2ban på Ubuntu 18.04 LTS
apt update
apt install fail2ban
Dette laster ned og installerer Fail2ban på din server. Vi må nå konfigurere Fail2ban til å oppføre seg slik vi vil:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
vi /etc/fail2ban/jail.local
Du bør gjøre følgende endringer:
Default
bantime => 36h
maxretry => 3
ignoreip => Uncomment, add all ip's that you will connect from, separate with space or comma.
Lagre konfigurasjonen og start Fail2ban på nytt:
systemctl restart fail2ban
Du kan verifisere at installasjonen fungerer ved å sjekke /var/log/fail2ban.log etter en stund. Se etter linjer som dette:
NOTICE [sshd] Ban <ip address>
Varsling per epost
Varsling per epost krever at du installerer Sendmail:
apt install sendmail
Dersom du gjør dette skal du endre følgende variabler i jail.local:
destemail - Set to destination email
sendername - Set to sender name
sender - Email address of sender
I tillegg må du endre action variable til %(action_mwl)s (siste variabel i [DEFAULT]), og til slutt starte Fail2ban på nytt:
systemctl restart fail2ban