Lo strumento fail2ban monitora i tuoi file di registro e agisce non appena rileva un comportamento dannoso nel modo in cui glielo hai detto. Un caso d'uso comune è bloccare gli indirizzi IP dannosi stabilendo regole firewall al volo utilizzando iptables.
Questo è uno strumento che serve a proteggere una varietà di servizi tra cui SSH, FTP, SMTP, Apache e molti altri da visitatori indesiderati. Funziona leggendo i file di registro per i modelli basati sui tentativi di accesso non riusciti e gestisce di conseguenza gli indirizzi IP offensivi. Certo, potresti aver già rinforzato il tuo server SSH o un altro servizio a livello di applicazione diretta, ma è lo scopo di questa ricetta mostrare che, di fronte alla possibilità di attacchi di forza bruta, un ulteriore livello di protezione è sempre utile .
Disinstallazione di fail2ban su Ubuntu
Nonostante le funzionalità fornite da fail2ban, potresti comunque voler disinstallare il pacchetto. Per farlo, segui i passaggi descritti di seguito:
1. Rimuovere il pacchetto fail2ban:
$ sudo apt-get remove fail2ban
2. Disinstalla fail2ban incluso il pacchetto dipendente. Se desideri rimuovere fail2ban e i suoi pacchetti dipendenti che non sono più necessari da Ubuntu,
$ sudo apt-get remove --auto-remove fail2ban
Usa Eliminazione fail2ban
Se utilizzi con le opzioni di eliminazione del pacchetto fail2ban tutta la configurazione e i pacchetti dipendenti verranno rimossi.
$ sudo apt-get purge fail2ban
Se utilizzi le opzioni di eliminazione insieme alla rimozione automatica, verrà rimosso tutto ciò che riguarda il pacchetto, è davvero utile quando vuoi reinstallare di nuovo.
$ sudo apt-get purge --auto-remove fail2ban
Reinstallazione di fail2ban in Ubuntu
L'installazione e la configurazione di Fail2ban è relativamente semplice. Innanzitutto, installa il suo pacchetto:
$ sudo apt install fail2ban
Dopo l'installazione, il demone fail2ban si avvierà e sarà configurato per avviarsi automaticamente all'avvio. La configurazione di fail2ban è semplicemente una questione di creazione di un file di configurazione. Il modo più semplice per iniziare è creare una copia di jail.conf e salvarla come jail.local:
$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Modifica il file di configurazione /etc/fail2ban/jail.local secondo le tue esigenze e riavvia il servizio fail2ban:
$ sudo systemctl restart fail2ban $ sudo systemctl status -l fail2ban
Conclusione
Fail2Ban è un programma di terze parti che viene eseguito in background e monitora i registri. Quando vengono visualizzate logline specifiche (come la riga di verifica dell'autenticazione mostrata in precedenza) un certo numero di volte, Fail2Ban esegue un'azione. Può essere programmato per inviarti un'e-mail con un avviso o utilizzare automaticamente IPTables per bloccare un indirizzo IP offensivo dopo che si sono verificati troppi tentativi entro un certo periodo di tempo.