En este artículo, aprenderá cómo cambiar el tiempo de prohibición en Fail2ban, así como cómo prohibir una dirección IP para siempre.
Nota
1. Antes de continuar, asegúrese de tener privilegios de sudo.
2. El procedimiento explicado aquí se ha probado en Ubuntu 22.04. Sin embargo, el mismo procedimiento también se puede usar en otras distribuciones de Linux.
Cómo instalar Fail2ban en Linux
Fail2ban está disponible en los repositorios de paquetes de casi todas las distribuciones de Linux. Puede instalarlo utilizando los administradores de paquetes de sus distribuciones de Linux.
En Ubuntu y Debian
Para instalar Fail2ban en distribuciones basadas en Debian como Ubuntu y Debian, use el comando a continuación:
$ sudo apt instalación fail2ban
En Centos, Fedora y Rhel
Para instalar Fail2ban en distribuciones basadas en RHEL como Centos, Fedora y Rhel, use los comandos a continuación:
$ sudo DNF Instalar Epel-Lanzamiento
$ sudo dnf instalación fail2ban
En Manjaro y Arch
Para instalar Fail2Ban en distribuciones basadas en Arch como Manjaro y Arch, use el comando a continuación:
$ sudo pacman -sy fail2ban
Una vez instalado, puede iniciar fail2ban usando el comando a continuación:
$ sudo systemctl start fail2ban
Para habilitar el servicio en el arranque, use el comando a continuación:
$ sudo systemctl habilitar fail2ban
Cómo cambiar el tiempo de prohibición en fail2ban
Como dijimos anteriormente, el tiempo predeterminado para el que se prohibe una dirección IP después de un número específico de intentos de autenticación fallidos es de 10 minutos. Se recomienda establecer el tiempo de prohibición el tiempo suficiente para desalentar los intentos maliciosos. Sin embargo, no debe ser demasiado largo para que el usuario legítimo sea prohibido por error por sus intentos de autenticación fallidos. También puede desahogar manualmente una dirección IP legítima en lugar de esperar el tiempo de prohibición para caducar.
Archivo de configuración fail2ban celda.confusión está ubicado en /etc/fail2ban. Sin embargo, no edite este archivo directamente. En su lugar, copie el celda.confusión archivo celda.local archivo en el /etc/fail2ban directorio y realizar todos los cambios de configuración en este nuevo archivo.
Para crear un celda.local Archivo, abra el terminal y ejecute el comando a continuación:
$ sudo cp/etc/fail2ban/cárcel.conf/etc/fail2ban/cárcel.local
Creará un celda.local archivo de configuración en /etc/fail2ban directorio.
2. Puede modificar el tiempo de prohibición cambiando el parámetro Bantime en el /etc/fail2ban/cárcel.local archivo. Editar el /etc/fail2ban/cárcel.local Archivo en cualquier editor de texto como Nano:
$ sudo nano/etc/fail2ban/cárcel.local
3. Ahora ajuste el valor del parámetro Bantime de acuerdo con sus requisitos. Digamos que prohibir la dirección IP durante 20 segundos, establecer el valor de Bantime en 20. Del mismo modo, para prohibir la dirección IP durante 5 minutos, establezca el valor de Bantime en 300 segundos.
Bantime = 20
Una vez hecho, ahorre y cierre el /etc/fail2ban/cárcel.local archivo.
4. Después de hacer cualquier ajuste al archivo de configuración Fail2Ban, asegúrese de reiniciar el servicio para aplicar los cambios:
$ sudo systemctl reiniciar fail2ban
Ahora las direcciones IP estarán prohibidas durante 20 segundos. También puede ver los registros de Fail2Ban para verificar esto:
$ cat/var/log/fail2ban.registro
Los registros de Fail2Ban resaltados en la captura de pantalla anterior verifican que una dirección IP 192.168.72.186 está prohibido a las 01:14:14 y luego sin explotar después de 20 segundos a las 01:14:34.
Proponga permanentemente una dirección IP en Fail2Ban
Con Fail2Ban, también puede prohibir permanentemente una dirección IP ofensiva. Veamos cómo lograrlo:
1. Si ya ha creado el celda.local archivo, luego puede dejar este paso.
Crear celda.local Archivo usando este comando en la terminal:
$ sudo cp/etc/fail2ban/cárcel.conf/etc/fail2ban/cárcel.local
Ahora el celda.local Se ha creado un archivo de configuración.
2. Ahora, para prohibir permanentemente las direcciones IP, edite la /etc/fail2ban/cárcel.local Archivo de configuración utilizando el comando a continuación:
$ sudo nano/etc/fail2ban/cárcel.local
3. Para prohibir permanentemente una dirección IP, configure el valor de Bantime en -1.
Después de eso, guarde y salga el /etc/fail2ban/cárcel.local archivo.
4. Reinicie el servicio Fail2Ban de la siguiente manera:
$ sudo systemctl reiniciar fail2ban
Después de eso, las direcciones IP que realizan el número específico de intentos de conexión fallidos se prohibirán permanentemente.
Ahora guarde y cierre el archivo.
Sin embargo, recuerde que las IPS prohibidas permanentemente no persistirán en todo el sistema o reiniciar el servicio. Para que estas prohibiciones sean persistentes, deberá realizar algunos pasos más:
1. Editar el /etc/fail2ban/cárcel.local Archivo usando el comando a continuación:
$ sudo nano/etc/fail2ban/cárcel.local
Busca el prohibición Entrada en este archivo. La siguiente captura de pantalla muestra el prohibición es iptables-multiport.
2. Editar el archivo de banaccion iptables-multiport Usando el comando a continuación:
$ sudo nano/etc/fail2ban/acción.d/iptables-multiport.confusión
Bajo la acción Entradas predeterminadas, agregue las siguientes líneas:
# Haz que las prohibiciones persistentes
Cat/etc/fail2ban/ip.prohibido | mientras lea IP; hacer iptables -i fail2ban-1 -S $ ip -j Drop; hecho
Y bajo el actor Entradas predeterminadas, agregue las siguientes líneas:
# Haz que las prohibiciones persistentes
echo '' '>>/etc/fail2ban/ip.prohibido
También puede consultar la siguiente captura de pantalla para mayor claridad.
Luego guarde y cierre el archivo y reinicie el servicio Fail2Ban:
$ sudo systemctl reiniciar fail2ban
Fail2ban agregará las IPS prohibidas al/etc/fail2ban/ip.archivo prohibido. También puede agregar manualmente IP a este archivo. El IPS prohibido ahora persistirá en todo el sistema o reiniciar el servicio.
Eso es todo lo que hay! En este artículo, explicamos cómo usar el fail2ban; Puede cambiar el tiempo de prohibición o prohibir una IP para siempre que no se autentica repetidamente.