Como mudar o tempo de proibição Fail2ban, mesmo proibir para sempre, se desejado
Neste artigo, você aprenderá a mudar o tempo de proibição no Fail2ban e como proibir um endereço IP para sempre, se desejado.
Observação
1. Antes de prosseguir, verifique se você tem privilégios sudo.
2. O procedimento explicado aqui foi testado no Ubuntu 22.04. No entanto, o mesmo procedimento também pode ser usado em outras distribuições Linux.
Como instalar Fail2ban no Linux
Fail2ban está disponível nos repositórios de pacotes de quase todas as distribuições Linux. Você pode instalá -lo usando os gerentes de pacotes de suas distribuições Linux.
No Ubuntu e Debian
Para instalar Fail2ban em distribuições baseadas em Debian, como Ubuntu e Debian, use o comando abaixo:
$ sudo apt install fall2ban
Em Centos, Fedora e Rhel
Para instalar Fail2ban em distribuições baseadas em RHEL, como Centos, Fedora e Rhel, use os comandos abaixo:
$ sudo dnf install-libelease
$ sudo dnf install fail2ban
Em Manjaro e Arch
Para instalar Fail2Ban em distribuições baseadas em arco, como Manjaro e Arch, use o comando abaixo:
$ sudo pacman -sy fail2ban
Depois de instalado, você pode iniciar Fail2Ban usando o comando abaixo:
$ sudo systemctl start frily2ban
Para ativar o serviço na inicialização, use o comando abaixo:
$ sudo systemctl atabille fail2ban
Como mudar o tempo de proibição em falhas2ban
Como afirmamos anteriormente, o tempo padrão para o qual um endereço IP é banido após um número específico de tentativas de autenticação com falha é de 10 minutos. Recomenda -se definir o tempo de proibição por tempo suficiente para desencorajar tentativas maliciosas. No entanto, não deve demorar muito para o usuário legítimo ser banido por engano por suas tentativas de autenticação fracassada. Você também pode desencadear manualmente um endereço IP legítimo, em vez de esperar o tempo de proibição para expirar.
Arquivo de configuração Fail2Ban cadeia.conf está localizado em /etc/fail2ban. No entanto, não edite este arquivo diretamente. Em vez disso, copie o cadeia.conf arquivo para cadeia.local arquivo no /etc/fail2ban diretório e faça todas as alterações de configuração neste novo arquivo.
Para criar um cadeia.local Arquivo, abra o terminal e execute o comando abaixo:
$ sudo cp/etc/fail2ban/prisão.conf/etc/fail2ban/prisão.local
Vai criar um cadeia.local arquivo de configuração abaixo /etc/fail2ban diretório.
2. Você pode modificar o tempo de proibição alterando o parâmetro de bantime no /etc/falha2ban/prisão.local arquivo. Editar o /etc/falha2ban/prisão.local Arquivo em qualquer editor de texto como Nano:
$ sudo nano/etc/falha2ban/prisão.local
3. Agora ajuste o valor do parâmetro de bantime de acordo com seus requisitos. Digamos para proibir o endereço IP por 20 segundos, defina o valor da faixa para 20. Da mesma forma, para proibir o endereço IP por 5 minutos, defina o valor da faixa para 300 segundos.
Bantime = 20
Uma vez feito, salve e feche o /etc/falha2ban/prisão.local arquivo.
4. Depois de fazer qualquer ajuste no arquivo de configuração Fail2ban, reinicie o serviço para aplicar as alterações:
$ sudo systemctl reiniciar falha2ban
Agora os endereços IP serão proibidos por 20 segundos. Você também pode ver os logs Fail2ban para verificar isso:
$ CAT/VAR/LOG/FAIL2BAN.registro
Os registros Fail2ban destacados na captura de tela acima verificam que um endereço IP 192.168.72.186 é banido às 01:14:14 e depois não foi banido após 20 segundos às 01:14:34.
Proibir permanentemente um endereço IP no Fail2ban
Com Fail2ban, você também pode proibir permanentemente um endereço IP ofensivo. Vamos ver como fazer isso:
1. Se você já criou o cadeia.local arquivo, então você pode deixar esta etapa.
Criar cadeia.local Arquivo usando este comando no terminal:
$ sudo cp/etc/fail2ban/prisão.conf/etc/fail2ban/prisão.local
Agora o cadeia.local O arquivo de configuração foi criado.
2. Agora, para proibir permanentemente os endereços IP, edite o /etc/falha2ban/prisão.local arquivo de configuração usando o comando abaixo:
$ sudo nano/etc/falha2ban/prisão.local
3. Para proibir permanentemente um endereço IP, defina o valor de bala -1.
Depois disso, salve e saia do /etc/falha2ban/prisão.local arquivo.
4. Reinicie o serviço Fail2ban da seguinte forma:
$ sudo systemctl reiniciar falha2ban
Depois disso, os endereços IP que fazem com que o número específico de tentativas de conexão com falha serão banidos permanentemente.
Agora salve e feche o arquivo.
No entanto, lembre -se de que o IPS banido permanentemente não persistirá em todo o sistema ou reinicialização de serviço. Para tornar essas proibições persistentes, você precisará executar mais algumas etapas:
1. Editar o /etc/falha2ban/prisão.local Arquivo usando o comando abaixo:
$ sudo nano/etc/falha2ban/prisão.local
Procure o banação entrada neste arquivo. A captura de tela a seguir mostra o banação é iptables-multiport.
2. Edite o arquivo de banação iptables-multiport Usando o comando abaixo:
$ sudo nano/etc/falha2ban/ação.d/iptables-multiport.conf
Debaixo de Actionstart Entradas padrão, adicione as seguintes linhas:
# Torne proibições persistentes
gato/etc/falha2ban/ip.banido | enquanto lê IP; iptables -i fail2ban-1 -S $ IP -J Drop; feito
E sob o ActionBan Entradas padrão, adicione as seguintes linhas:
# Torne proibições persistentes
eco '' >>/etc/fail2ban/ip.banido
Você também pode se referir à seguinte captura de tela para clareza.
Em seguida, salve e feche o arquivo e reinicie o serviço Fail2ban:
$ sudo systemctl reiniciar falha2ban
Fail2ban adicionará os IPs proibidos ao/etc/fail2ban/ip.arquivo proibido. Você também pode adicionar manualmente IPS a este arquivo. Os IPs proibidos agora persistirão em todo o sistema ou reiniciar serviço.
Isso é tudo o que há para isso! Neste artigo, explicamos como o uso do Fail2Ban; Você pode mudar o tempo de proibição ou proibir um IP para sempre que está falhando repetidamente em autenticar.