Как да дебанирате IP в fail2ban

Много от инструментите за сигурност не предпазват вашата система от компромиси. Дори задаването на най-силната парола не решава проблема, тъй като той също може да бъде нарушен с няколко техники. Fail2ban е чудесен инструмент, който ви позволява да забраните IP адреса, който прави неправилни опити за удостоверяване. Вместо да позволи на потребителя да прави опити и успехи, той ги блокира на първо място. Следователно, той предотвратява проникването, преди те да съставят вашата система.

Докато правите неправилни опити за удостоверяване, понякога fail2ban може да блокира и законни връзки. По подразбиране времето за забрана е 10 минути. След 10 минути забраненият IP адрес се забранява автоматично. Ако обаче законната система е забранена и не можете да изчакате да изтече времето за забрана, можете ръчно да я забраните. В този пост ще опишем как да забраните IP адрес в fail2ban.

Заден план:

Когато потребителят се опита да влезе с неправилна парола, повече от посочената от maxretry опция в / etc / fail2ban / jail.местни файл, той се забранява от fail2ban. Като забранява IP адреса на системата, никой потребител в забранената система не може да използва забранената услуга.

Следва съобщението за грешка, получено от потребител с IP адрес „192.168.72.186 ”забранено от fail2ban. Опитваше се да влезе в сървъра чрез SSH, използвайки неправилните пароли.

Вижте забранен IP адрес и информация за затвора

За да разберете кои IP адреси са забранени и по кое време, можете да видите регистрационните файлове от сървъра, където е инсталиран fail2ban:

$ cat / var / log / fail2ban.дневник

Следващият изход показва IP адреса „192.168.72.186 ”е забранен от fail2ban и е в затвора на име„ sshd.”

Можете също да използвате следната команда с името на затвора, за да покажете забранени IP адреси:

$ sudo fail2ban-клиентски статус

Например в нашия случай забраненият IP адрес е в затвора “sshd”, така че командата ще бъде:

$ sudo fail2ban-client status sshd

Изходът потвърждава IP адреса „192.168.72.186 ”е в затвора на име„ sshd.”

Дебанирайте IP в fail2ban

За да дебанирате IP адрес в fail2ban и да го премахнете от затвора, използвайте следния синтаксис:

$ sudo fail2ban-client set jail_name unbanip xxx.ххх.ххх.ххх

където „jail_name“ е затворът, в който е забраненият IP адрес и „xxx.ххх.ххх.xxx ”е IP адресът, който е забранен.

Например, за да дебанирате IP адрес „192.168.72.186 “, който е в затвора„ sshd “, командата ще бъде:

$ sudo fail2ban-client set sshd unbanip 192.168.72.186

Проверете дали IP адресът е забранен

Сега, за да проверите дали IP адресът е забранен, прегледайте регистрационните файлове, като използвате командата по-долу:

$ cat / var / log / fail2ban.дневник

В дневниците ще видите Unban влизане.

Или можете да използвате следната команда, за да потвърдите дали IP адресът е забранен:

$ sudo fail2ban-клиентски статус

Заменете „jail_name“ с името на затвора, където е бил забраненият IP адрес.

Ако не намерите IP адреса, посочен в Забранен списък с IP адреси, това означава, че е бил успешно забранен.

Ето как можете да забраните IP адрес в fail2ban. След като забраните IP адреса, можете лесно да влезете в сървъра чрез SSH.