Добрый день всем, кто оказался на данном сайте. Сегодня мы продолжаем развивать тему безопасности в Linux. И поговорим мы про так называемую атаку методом перебора паролей (Brute force). Не смотря на то что это старая методика взлома, она и на сегодняшний день применяется многими злоумышленниками, и стоит отметить, часто вполне удачно. Рассмотрим вариант, как можно защититься от подобных атак. Способ о котором мы будем разговаривать называется Fail2ban. Fail2ban — это средство от от атак методом перебора (Brute force). Fail2ban так же можно настроить и на защиту от ddos атаки, все зависит от целей которые вы преследуете. Он выявляет попытку взлома (Brute force) и блокирует ip адрес. При необходимости, можно настроить на оповещение, например на электронную почту.

Установка Fail2ban

Для установки достаточно набрать команду

sudo apt install fail2ban

Так как fail2ban есть во всех репозиторях, установка не вызовет затруднений. А так же не потребует подключать сторонние репозитории. Конфигурационный файл лежит по адресу /etc/fail2ban/jail.conf. Давайте откроем его

sudo nano /etc/fail2ban/jail.conf
В этом файле хранятся фильтры защиты. По умолчанию, fail2ban блокирует ip адрес после 6 неудачных попыток ввода пароля. Блокирует на 600 секунд. Так же по умолчанию уже включена защита ssh подключения. Но я рекомендую редактировать этот файл. Для пользовательских фильтров предусмотрен отдельный каталог «/etc/fail2ban/jail.d»

В этом каталоге вы можете создавать свои фильтры защиты и программа будет ориентироваться на них. Приведу список с описанием всех файлов в каталоге fail2ban

Файлы настроек fail2ban расположены в каталоге /etc/fail2ban/:

fail2ban.conf – дефолтные настройки сервиса fail2ban;

fail2ban.d/*.* – пользовательские настройки сервиса fail2ban;

jail.conf – дефолтные настройки для защищаемых сервисов;

jail.d/*.* – пользовательские настройки для защищаемых сервисов;

filter.d/*.* – настройки шаблонов поиска в системных журналах (логах);

action.d/*.* – настройки исполняемых действий;

paths*.conf – настройки путей для различных операционных систем.

Описывать как настроить не вижу смысла, так как все зависит для чего вам нужен fail2ban. Да и в сети есть уже готовые решения, например для Apache, Postfix, Cyrus IMAP так далее.

Материал взят с сайта «Cyber-X.ru»