Краткое описание пациента: при обнаружении попытки взлома, добавляет запись с IP-адресом атакующего в таблицу правил безопасности iptables и блокирует его либо временно, либо навсегда. Еще fail2ban может слать алерты на email.

Ставим на debian 9. Мою любименькую. Все просто

apt-get install fail2ban

Конфигурационные файлы fail2ban хранит в директории /etc/fail2ban. В ней существует файл со значениями по умолчанию под названием jail.conf.
Так как этот файл может быть изменен с помощью обновлений пакетов, его редактирование не рекомендуется. Для настройки используют подключаемые файлы из каталога /etc/fail2ban/jail.d.

Для уменьшения потребления памяти, будем использовать команду ULIMIT. В файле /etc/default/fail2ban добавим строку:

ulimit -s 256

После этого перезагрузим демон

sudo /etc/init.d/fail2ban restart

Оценить разницу, до и после внесения изменений, можно следующей командой

ps -aux | grep fail2ban

В директиву ignoreip можно добавить IP-адреса, диапазоны IP-адресов или хосты, которые нужно исключить из запрета. Раскомментируем строку в файле /etc/fail2ban/jail.conf, начинающуюся с ignoreip и добавляем свои IP-адреса через пробел:

ignoreip = 127.0.0.1/8 192.168.30.0/24 10.10.10.14/24

Получить список правил можно командой

fail2ban-client status
Status
|- Number of jail:      1
`- Jail list:   sshd

Получить статистику заблокированных адресов можно следующей командой

fail2ban-client status <имя правила>

либо цепочка - Chain f2b-sshd

iptables -L -n --line

Средствами fail2ban,

fail2ban-client set <имя правила> unbanip <IP-адрес>
# example
fail2ban-client set sshd unbanip 12.345.67.89

С помощью iptables

iptables -D <цепочка правил> -s IP-адрес
# example
iptables -D f2b-sshd -s 12.345.67.89