Come installare e configurare Fail2ban su Ubuntu?

Devi proteggere il tuo server da un attacco di forza bruta da Internet. Puoi farlo con strumenti adeguati. Nell'attacco Brute Force, l'attaccante può inviare più query al tuo server. Per mitigare l'attacco Bruteforce, puoi installare e configurare Fail2Ban sul tuo server Ubuntu.

Cos'è Bruteforce Attack?

L'attaccante invia più richieste di accesso al tuo sito Web utilizzando la combinazione di nome utente e password del database. L'attacco continuerà fino alla corrispondenza esatta di nome utente e password. Ciò aumenterà anche l'I/O del tuo sito Web e lo renderà lento. Se continua, significa che il tuo sito web sta subendo l'attacco Brute Force.

Il tuo server web riceverà i registri di ogni richiesta in un file di registro con l'indirizzo IP del mittente. È un compito molto difficile trovare tutti gli indirizzi IP colpevoli e bloccarli nel tuo firewall. Invece di questo, possiamo prevenire l'attacco di forza bruta con l'automazione in Fail2Ban.

Installa Fail2Ban su Ubuntu :

È molto facile installare Fail2Ban su Ubuntu. Puoi fare riferimento ai seguenti passaggi per installare Fail2Ban su Ubuntu.

1. Aggiorna i repository e i pacchetti di Ubuntu con le versioni più recenti.
   
   

   # sudo apt-get update
   # sudo apt-get upgrade -y

2. Esegui il comando seguente per installare Fail2Ban su Ubuntu.
   
   

   # sudo apt-get install fail2ban -y

3. Una volta installato, eseguire il comando seguente per consentire la connessione alla porta 22 (SSH) e abilitare il firewall sul server. Dovrai consentire ssh a colpo sicuro. Non potrai accedere utilizzando SSH se non è abilitato.
   
   

   # sudo ufw allow ssh 
   # sudo ufw enable
   

4. Il processo di installazione è completato. Passiamo alla parte Configurazione.
   
   

Configura Fail2Ban su Ubuntu:

1. Qui creeremo un nuovo file di configurazione per Fail2Ban all'interno di /etc/fail2ban . Esegui il comando seguente per creare il file di configurazione in Fail2Ban.
   
   

   # sudo nano /etc/fail2ban/jail.local
   

2. Incolla il contenuto seguente all'interno del file di conferma jail.local.
   
   

   # [DEFAULT] ignoreip = 127.0.0.1/8 ::1
   bantime = 3600
   findtime = 600
   maxretry = 5
   [sshd] enabled = true
   

3. Qui c'è la comprensione di ogni configurazione che abbiamo impostato in jail.local file.

• ignora :Inserisci gli indirizzi IP che non vogliamo vietare. Qui, abbiamo inserito gli indirizzi IP di Localhost nei formati IPv4 e IPv6. Significa che Fail2Ban non vieterà al server stesso l'accesso.
  
  
• bantime :È in tempo reale in secondi per cui l'indirizzo IP bloccato non sarà in grado di accedere. Una volta bloccato l'indirizzo IP, non potrai accedere nuovamente per 3600 secondi.
  
  
• trova il tempo :findtime è un intervallo di tempo in cui avverrà il conteggio. In questo caso, il tempo di ricerca è di 600 secondi o 10 minuti. Quindi, se qualcuno non riesce ad accedere per X volte in 10 minuti, Fail2Ban bloccherà l'indirizzo IP.
  
  
• maxretry :il numero massimo di tentativi è un numero di tentativi di accesso non riusciti. In questo caso, è 5. Significa che dopo 5 tentativi falliti, Fail2Ban bloccherà l'indirizzo IP.
  
  

1. Salva il file di configurazione e riavvia il servizio Fail2Ban.

Come per la configurazione sopra, se ci sono 5 accessi non riusciti entro 10 minuti, Fail2Ban bloccherà quell'indirizzo IP per 3600 secondi significa 1 ora.

Riavvia il servizio Fail2Ban per salvare e aggiornare le modifiche apportate al file di configurazione.

# sudo service fail2ban restart

Il servizio SSH del tuo server è protetto con Fail2Ban. Ecco come puoi utilizzare Fail2Ban per proteggere il tuo server dall'attacco BruteForce.