Краткое описание пациента: при обнаружении попытки взлома, добавляет запись с IP-адресом атакующего в таблицу правил безопасности iptables и блокирует его либо временно, либо навсегда. Еще fail2ban может слать алерты на email.
Ставим на debian 9. Мою любименькую. Все просто
apt-get install fail2ban
Конфигурационные файлы fail2ban хранит в директории /etc/fail2ban
. В ней существует файл со значениями по умолчанию под названием jail.conf
.
Так как этот файл может быть изменен с помощью обновлений пакетов, его редактирование не рекомендуется. Для настройки используют подключаемые файлы из каталога /etc/fail2ban/jail.d
.
Для уменьшения потребления памяти, будем использовать команду ULIMIT. В файле /etc/default/fail2ban
добавим строку:
ulimit -s 256
После этого перезагрузим демон
sudo /etc/init.d/fail2ban restart
Оценить разницу, до и после внесения изменений, можно следующей командой
ps -aux | grep fail2ban
Получить список правил можно командой
fail2ban-client status Status |- Number of jail: 1 `- Jail list: sshd
Получить статистику заблокированных адресов можно следующей командой
fail2ban-client status <имя правила>
либо цепочка - Chain f2b-sshd
iptables -L -n --line
Средствами fail2ban,
fail2ban-client set <имя правила> unbanip <IP-адрес> # example fail2ban-client set sshd unbanip 12.345.67.89
С помощью iptables
iptables -D <цепочка правил> -s IP-адрес # example iptables -D f2b-sshd -s 12.345.67.89