Fail2ban — простой в использовании локальный сервис, который отслеживает файлы журналов на наличие необычных шаблонов входа в систему и попыток взлома системы безопасности.

Программа умеет бороться с различными атаками на все популярные сервисы, такие как Apache, Nginx, ProFTPD, vsftpd, Exim, Postfix, named, и т.д.

Fail2ban — это программа, которая сканирует файлы журналов для попыток входа в систему методом брута в режиме реального времени и блокирует атакующих с помощью firewalld или iptables.

Fail2ban распознает нежелательные попытки доступа или взлома системы безопасности на сервере в пределах установленного администратором временного интервала и блокирует IP-адреса, которые показывают признаки атак методом перебора или атак по словарю.

Установка Fail2Ban

yum install epel-release

yum install fail2ban fail2ban-systemd

Конфигурация Fail2ban

У программы несколько основных файла конфигурации:

1. /etc/fail2ban/fail2ban.conf — отвечает за запуск процесса Fail2ban.
2. /etc/fail2ban/jail.conf — настройки защиты конкретных сервисов.

Файл jail.conf поделён на секции, так называемые «изоляторы» (jails), каждая секция отвечает за определённый сервис и тип атаки

Необх

Осталось перезапустить Fail2ban:

service fail2ban restart

Redirecting to /bin/systemctl restart fail2ban.service

tail /var/log/fail2ban.log

2019-05-06 23:44:05,787 fail2ban.actions        [2315]: NOTICE  [sshd] Ban 64.20.19.105
2019-05-06 23:44:05,919 fail2ban.filter         [2315]: INFO    [ssh] Found 64.20.19.105
2019-05-06 23:44:59,594 fail2ban.actions        [2315]: NOTICE  [ssh] Unban 119.27.162.66
2019-05-06 23:46:51,231 fail2ban.filter         [2315]: INFO    [sshd] Found 142.93.162.141
2019-05-06 23:46:51,239 fail2ban.filter         [2315]: INFO    [sshd] Found 142.93.162.141
2019-05-06 23:46:52,094 fail2ban.filter         [2315]: INFO    [ssh] Found 142.93.162.141
2019-05-06 23:46:52,100 fail2ban.filter         [2315]: INFO    [ssh] Found 142.93.162.141
2019-05-06 23:46:53,262 fail2ban.filter         [2315]: INFO    [sshd] Found 142.93.162.141
2019-05-06 23:46:54,103 fail2ban.filter         [2315]: INFO    [ssh] Found 142.93.162.141
2019-05-06 23:49:13,887 fail2ban.filter         [2315]: INFO    [sshd] Found 119.27.162.66

fail2ban-client status sshd

Status for the jail: sshd
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     52
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 65
|- Total banned:     65
`- Banned IP list:   157.230.240.164 103.248.83.76 104.236.78.228 104.248.242.125 109.87.115.220 111.231.83.112 116.31.116.2 117.239.242.106 118.25.128.19 121.12.87.109 125.27.12.34 134.209.232.79 138.197.97.160 140.143.130.52 142.93.106.186 142.93.174.209 142.93.18.15 157.230.221.197 159.69.208.196 165.22.129.135 165.22.129.83 165.22.73.179 165.22.86.154 167.86.108.125 175.195.45.85 176.107.128.87 178.128.117.161 178.128.255.8 179.110.29.67 183.104.192.162 185.158.115.156 188.165.220.213 189.125.2.234 189.161.197.79 198.12.97.68 198.98.62.146 207.148.80.46 212.237.35.85 213.6.8.38 218.92.0.172 219.140.198.51 221.203.38.14 222.170.73.37 223.93.172.151 27.221.81.138 41.234.66.124 46.101.19.87 5.135.179.178 5.135.209.161 51.75.195.222 58.242.82.9 58.97.51.194 68.183.131.22 68.183.143.50 71.227.69.119 81.223.86.19 85.242.26.140 91.134.132.244 91.235.244.116 92.119.160.80 94.158.245.51 106.12.211.134 64.20.19.105 46.17.41.41 79.62.150.45