Como mudar o tempo de proibição Fail2ban, mesmo proibir para sempre, se desejado

Como mudar o tempo de proibição Fail2ban, mesmo proibir para sempre, se desejado
“Fail2ban é um aplicativo de análise de log de código aberto que impede seu sistema de ataques de força bruta. Ele analisa arquivos de log e bloqueia endereços IP que têm muitas falhas de autenticação. Isso geralmente acontece quando um usuário tenta fazer login usando o método de tentativa e erro. Fail2ban então age como atualizar as regras do firewall para proibir esse endereço IP por um período de tempo específico, que é por padrão 10 minutos ou 600 segundos. O endereço IP proibido é automaticamente não banido após 10 minutos para evitar bloquear quaisquer usuários legítimos que possam ter elogiado por engano suas senhas repetidamente.”

Neste artigo, você aprenderá a mudar o tempo de proibição no Fail2ban e como proibir um endereço IP para sempre, se desejado.

Observação
1. Antes de prosseguir, verifique se você tem privilégios sudo.

2. O procedimento explicado aqui foi testado no Ubuntu 22.04. No entanto, o mesmo procedimento também pode ser usado em outras distribuições Linux.

Como instalar Fail2ban no Linux

Fail2ban está disponível nos repositórios de pacotes de quase todas as distribuições Linux. Você pode instalá -lo usando os gerentes de pacotes de suas distribuições Linux.

No Ubuntu e Debian

Para instalar Fail2ban em distribuições baseadas em Debian, como Ubuntu e Debian, use o comando abaixo:

$ sudo apt install fall2ban

Em Centos, Fedora e Rhel

Para instalar Fail2ban em distribuições baseadas em RHEL, como Centos, Fedora e Rhel, use os comandos abaixo:

$ sudo dnf install-libelease
$ sudo dnf install fail2ban

Em Manjaro e Arch

Para instalar Fail2Ban em distribuições baseadas em arco, como Manjaro e Arch, use o comando abaixo:

$ sudo pacman -sy fail2ban

Depois de instalado, você pode iniciar Fail2Ban usando o comando abaixo:

$ sudo systemctl start frily2ban

Para ativar o serviço na inicialização, use o comando abaixo:

$ sudo systemctl atabille fail2ban

Como mudar o tempo de proibição em falhas2ban

Como afirmamos anteriormente, o tempo padrão para o qual um endereço IP é banido após um número específico de tentativas de autenticação com falha é de 10 minutos. Recomenda -se definir o tempo de proibição por tempo suficiente para desencorajar tentativas maliciosas. No entanto, não deve demorar muito para o usuário legítimo ser banido por engano por suas tentativas de autenticação fracassada. Você também pode desencadear manualmente um endereço IP legítimo, em vez de esperar o tempo de proibição para expirar.

Arquivo de configuração Fail2Ban cadeia.conf está localizado em /etc/fail2ban. No entanto, não edite este arquivo diretamente. Em vez disso, copie o cadeia.conf arquivo para cadeia.local arquivo no /etc/fail2ban diretório e faça todas as alterações de configuração neste novo arquivo.

Para criar um cadeia.local Arquivo, abra o terminal e execute o comando abaixo:

$ sudo cp/etc/fail2ban/prisão.conf/etc/fail2ban/prisão.local

Vai criar um cadeia.local arquivo de configuração abaixo /etc/fail2ban diretório.

2. Você pode modificar o tempo de proibição alterando o parâmetro de bantime no /etc/falha2ban/prisão.local arquivo. Editar o /etc/falha2ban/prisão.local Arquivo em qualquer editor de texto como Nano:

$ sudo nano/etc/falha2ban/prisão.local

3. Agora ajuste o valor do parâmetro de bantime de acordo com seus requisitos. Digamos para proibir o endereço IP por 20 segundos, defina o valor da faixa para 20. Da mesma forma, para proibir o endereço IP por 5 minutos, defina o valor da faixa para 300 segundos.

Bantime = 20

Uma vez feito, salve e feche o /etc/falha2ban/prisão.local arquivo.

4. Depois de fazer qualquer ajuste no arquivo de configuração Fail2ban, reinicie o serviço para aplicar as alterações:

$ sudo systemctl reiniciar falha2ban

Agora os endereços IP serão proibidos por 20 segundos. Você também pode ver os logs Fail2ban para verificar isso:

$ CAT/VAR/LOG/FAIL2BAN.registro

Os registros Fail2ban destacados na captura de tela acima verificam que um endereço IP 192.168.72.186 é banido às 01:14:14 e depois não foi banido após 20 segundos às 01:14:34.

Proibir permanentemente um endereço IP no Fail2ban

Com Fail2ban, você também pode proibir permanentemente um endereço IP ofensivo. Vamos ver como fazer isso:

1. Se você já criou o cadeia.local arquivo, então você pode deixar esta etapa.

Criar cadeia.local Arquivo usando este comando no terminal:

$ sudo cp/etc/fail2ban/prisão.conf/etc/fail2ban/prisão.local

Agora o cadeia.local O arquivo de configuração foi criado.

2. Agora, para proibir permanentemente os endereços IP, edite o /etc/falha2ban/prisão.local arquivo de configuração usando o comando abaixo:

$ sudo nano/etc/falha2ban/prisão.local

3. Para proibir permanentemente um endereço IP, defina o valor de bala -1.

Depois disso, salve e saia do /etc/falha2ban/prisão.local arquivo.

4. Reinicie o serviço Fail2ban da seguinte forma:

$ sudo systemctl reiniciar falha2ban

Depois disso, os endereços IP que fazem com que o número específico de tentativas de conexão com falha serão banidos permanentemente.

Agora salve e feche o arquivo.

No entanto, lembre -se de que o IPS banido permanentemente não persistirá em todo o sistema ou reinicialização de serviço. Para tornar essas proibições persistentes, você precisará executar mais algumas etapas:

1. Editar o /etc/falha2ban/prisão.local Arquivo usando o comando abaixo:

$ sudo nano/etc/falha2ban/prisão.local

Procure o banação entrada neste arquivo. A captura de tela a seguir mostra o banação é iptables-multiport.

2. Edite o arquivo de banação iptables-multiport Usando o comando abaixo:

$ sudo nano/etc/falha2ban/ação.d/iptables-multiport.conf

Debaixo de Actionstart Entradas padrão, adicione as seguintes linhas:

# Torne proibições persistentes
gato/etc/falha2ban/ip.banido | enquanto lê IP; iptables -i fail2ban- 1 -S $ IP -J Drop; feito

E sob o ActionBan Entradas padrão, adicione as seguintes linhas:

# Torne proibições persistentes
eco '' >>/etc/fail2ban/ip.banido

Você também pode se referir à seguinte captura de tela para clareza.

Em seguida, salve e feche o arquivo e reinicie o serviço Fail2ban:

$ sudo systemctl reiniciar falha2ban

Fail2ban adicionará os IPs proibidos ao/etc/fail2ban/ip.arquivo proibido. Você também pode adicionar manualmente IPS a este arquivo. Os IPs proibidos agora persistirão em todo o sistema ou reiniciar serviço.

Isso é tudo o que há para isso! Neste artigo, explicamos como o uso do Fail2Ban; Você pode mudar o tempo de proibição ou proibir um IP para sempre que está falhando repetidamente em autenticar.