Jack Wallen ti guida attraverso il processo di installazione di fail2ban su Ubuntu Server 22.04 per prevenire tentativi di accesso dannosi.
Fail2ban è una delle prime cose che dovresti installare sulle tue nuove distribuzioni di server Linux. Una volta distribuito, fail2ban funziona per prevenire attacchi di accesso dannosi e di forza bruta e può essere utilizzato per monitorare protocolli come HTTP, SSH e FTP.
Se fail2ban rileva un tentativo di accesso dannoso, bloccherà automaticamente l'indirizzo IP offensivo, in modo che chiunque stia tentando l'attacco non potrà accedervi.
Ti guiderò attraverso il processo di installazione di fail2ban sull'ultima versione di Ubuntu Server (22.04, noto anche come Jammy Jellyfish).
Di cosa avrai bisogno
Le uniche cose di cui avrai bisogno per far funzionare fail2ban sono un'istanza di Ubuntu Server 22.04 e un utente con privilegi sudo.
Ecco fatto:proteggiamo quel server.
Copertura per sviluppatori da leggere
Come installare fail2ban
L'installazione di fail2ban è incredibilmente semplice. Accedi alla tua istanza di Ubuntu Server ed esegui il comando:
sudo apt-get install fail2ban -y
Avvia e abilita il servizio fail2ban con:
sudo systemctl enable --now fail2ban
Se stai eseguendo il firewall UFW, e dovresti esserlo, potresti dover consentire il traffico SSH nel server con il comando:
sudo ufw allow ssh
Come configurare fail2ban
Fail2ban dipende da alcuni file e directory differenti, che sono:
- fail2ban.conf – il file di configurazione principale
- jail.conf – un esempio di configurazione della jail
- action.d – contiene varie configurazioni di azioni fail2ban per cose come posta e firewall
- jail.d – contiene ulteriori configurazioni jail fail2ban
Creeremo un nuovo file, jail.local, e configureremo fail2ban per prevenire accessi SSH dannosi.
Crea il nuovo file con:
sudo nano /etc/fail2ban/jail.local
In quel file, incolla il seguente contenuto:
[sshd] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3 findtime = 300 bantime = 28800 ignoreip = 127.0.0.1
Ecco la descrizione di quanto sopra:
- abilitato – abilita la prigione
- porta:la porta verrà ascoltata da fail2ban
- filtro – utilizzerà il filtro integrato fail2ban
- logpath – la directory che ospita il log fail2ban
- maxretry:il numero di tentativi non riusciti consentiti prima che un IP venga bloccato
- findtime:la quantità di tempo tra i tentativi di accesso non riusciti
- bantime – numero di secondi per cui un indirizzo IP viene bannato
- ignoreip – un indirizzo IP che deve essere ignorato da fail2ban
Salva e chiudi il file.
Riavvia fail2ban con:
sudo systemctl restart fail2ban
Come testare fail2ban
Accedere a un'altra macchina e tentare un accesso SSH al server che ospita fail2ban. Assicurati di digitare la password in modo errato 3 volte.
Dopo il terzo tentativo, SSH ti bloccherà e dovrai usare la combinazione di tasti CTRL + C per tornare al prompt. Se tenti un altro accesso SSH, ti verrà presentato un errore Connessione rifiutata.
Come sbloccare un indirizzo IP
Dopo il test, potresti voler sbloccare l'indirizzo IP che hai utilizzato. Assicurati di avere un IP bannato con il comando:
sudo fail2ban-client status sshd
Dovresti vedere qualcosa come il seguente elencato:
Status for the jail: sshd
|- Filter | |- Currently failed: 0 | |- Total failed: 3 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 1 |- Total banned: 1 `- Banned IP list: 192.168.1.40
Per sbloccare l'indirizzo IP 192.168.1.40, devi dare il comando:
sudo fail2ban-client set sshd unbanip 192.168.1.40
Dovresti vedere stampato il numero uno, perché è il numero di indirizzi IP che hai appena sbloccato.
Puoi anche bannare manualmente un IP con il comando:
sudo fail2ban-client set sshd banip 192.168.1.40
Congratulazioni, hai installato e configurato correttamente fail2ban per bloccare gli accessi SSH indesiderati alla tua istanza del server Ubuntu.