Wie man die Verbotszeit verändert, fail2ban, sogar für immer verbieten, falls gewünscht

Wie man die Verbotszeit verändert, fail2ban, sogar für immer verbieten, falls gewünscht
„Fail2ban ist eine Open-Source-Protokollanalyse-Anwendung, die Ihr System von Brute-Force-Angriffen verhindert. Es analysiert Protokolldateien und blockiert IP -Adressen, die zu viele Authentifizierungsfehler haben. Dies geschieht normalerweise, wenn ein Benutzer versucht, sich mit der Versuch-und-Irrtum-Methode anzumelden. Fail2ban ergriffen dann Maßnahmen wie die Aktualisierung der Firewall -Regeln, um diese IP -Adresse für einen bestimmten Zeitraum zu verbieten, der standardmäßig 10 Minuten oder 600 Sekunden beträgt. Die verbotene IP -Adresse wird nach 10 Minuten automatisch nicht verbannt, um zu vermeiden.”

In diesem Artikel lernen Sie, wie Sie die Verbotszeit in Fail2ban ändern und wie man eine IP -Adresse für immer verbietet, falls gewünscht.

Notiz
1. Stellen Sie vor dem Fahren sicher, dass Sie Sudo -Privilegien haben.

2. Das hier erläuterte Verfahren wurde auf Ubuntu 22 getestet.04. Das gleiche Verfahren kann jedoch auch für andere Linux -Verteilungen verwendet werden.

So installieren Sie Fail2ban unter Linux

Fail2ban ist in den Paket -Repositories fast jeder Linux -Verteilung erhältlich. Sie können es über die Paketmanager Ihrer Linux -Verteilungen installieren.

Auf Ubuntu und Debian

Um Fail2ban in Debian-basierten Verteilungen wie Ubuntu und Debian zu installieren, verwenden Sie den folgenden Befehl:

$ sudo apt install fail2ban

Auf Centos, Fedora und Rhel

So installieren Sie Fail2ban über rhelbasierte Verteilungen wie CentOS, Fedora und RHEL, verwenden Sie die folgenden Befehle:

$ sudo dnf install epel-release
$ sudo dnf install fail2ban

Auf Manjaro und Bogen

Um Fail2ban auf archbasierten Verteilungen wie Manjaro und Arch zu installieren, verwenden Sie den folgenden Befehl:

$ sudo pacman -sy fail2ban

Nach der Installation können Sie Fail2ban mit dem folgenden Befehl starten:

$ sudo systemctl start fail2ban

Verwenden Sie den folgenden Befehl, um den Dienst am Boot zu aktivieren:

$ sudo systemctl aktivieren fail2ban

So ändern Sie die Verbotszeit in Fail2ban

Wie wir bereits erwähnt haben, beträgt die Standardzeit, für die eine IP -Adresse nach einer bestimmten Anzahl fehlgeschlagener Authentifizierungsversuche verboten ist. Es wird empfohlen, das Verbot lange genug Zeit zu setzen, um böswillige Versuche zu entmutigen. Es sollte jedoch nicht zu lang sein, dass der legitime Benutzer fälschlicherweise wegen seiner gescheiterten Authentifizierungsversuche verboten wird. Sie können auch eine legitime IP.

Fail2ban -Konfigurationsdatei Gefängnis.Conf befindet sich bei /etc/fail2ban. Bearbeiten Sie diese Datei jedoch nicht direkt. Kopieren Sie stattdessen die Gefängnis.Conf Datei an Gefängnis.lokal Datei in der /etc/fail2ban Verzeichnis und führen Sie alle Konfigurationsänderungen in dieser neuen Datei vor.

A erstellen a Gefängnis.lokal Datei, öffnen Sie das Terminal und führen Sie den folgenden Befehl aus:

$ sudo cp/etc/fail2ban/jail.conf/etc/fail2ban/jail.lokal

Es wird a erstellen Gefängnis.lokal Konfigurationsdatei unter /etc/fail2ban Verzeichnis.

2. Sie können die Verbotzeit ändern, indem Sie den Bantime -Parameter in der ändern /etc/fail2ban/jail.lokal Datei. Bearbeiten die /etc/fail2ban/jail.lokal Datei in jedem Texteditor wie Nano:

$ sudo nano/etc/fail2ban/jail.lokal

3. Passen Sie nun den Bantime -Parameterwert entsprechend Ihren Anforderungen an. Nehmen wir an, wir sollen die IP -Adresse für 20 Sekunden verbieten und den Wert der Bantime auf 20 festlegen. Um die IP -Adresse für 5 Minuten zu verbieten, setzen Sie den Wert der Bantime auf 300 Sekunden.

Bantime = 20

Einmal fertig, speichern und schließen Sie die /etc/fail2ban/jail.lokal Datei.

4. Stellen Sie nach Anpassungen an der Fail2ban -Konfigurationsdatei den Dienst neu, um die Änderungen anzuwenden:

$ sudo systemctl restart fail2ban

Jetzt werden die IP -Adressen 20 Sekunden lang verboten. Sie können auch Fail2ban -Protokolle sehen, um dies zu überprüfen:

$ cat/var/log/fail2ban.Protokoll

Die im obigen Screenshot hervorgehobenen Fail2ban -Protokolle überprüfen, dass eine IP -Adresse 192.168.72.186 ist um 01:14:14 verboten und dann nach 20 Sekunden um 01:14:34 Uhr ungebunden.

Verbieten Sie eine IP -Adresse dauerhaft in fail2ban

Mit Fail2ban können Sie auch eine beleidigende IP -Adresse dauerhaft verbieten. Mal sehen, wie man es erreicht:

1. Wenn Sie die bereits erstellt haben Gefängnis.lokal Datei, dann können Sie diesen Schritt verlassen.

Erstellen Gefängnis.lokal Datei mit diesem Befehl in Terminal:

$ sudo cp/etc/fail2ban/jail.conf/etc/fail2ban/jail.lokal

Jetzt die Gefängnis.lokal Die Konfigurationsdatei wurde erstellt.

2. Um die IP -Adressen dauerhaft zu verbieten, bearbeiten Sie nun die /etc/fail2ban/jail.lokal Konfigurationsdatei mit dem folgenden Befehl:

$ sudo nano/etc/fail2ban/jail.lokal

3. Um eine IP -Adresse dauerhaft zu verbieten, setzen Sie den Bantime -Wert auf -1.

Danach speichern und verlassen Sie die /etc/fail2ban/jail.lokal Datei.

4. Starten Sie den Fail2ban -Dienst wie folgt neu:

$ sudo systemctl restart fail2ban

Danach werden die IP -Adressen, die die spezifische Anzahl fehlgeschlagener Verbindungsversuche erstellen, dauerhaft verboten.

Speichern und schließen Sie nun die Datei.

Denken Sie jedoch daran, dass die dauerhaft verbotenen IPs nicht über das System oder den Neustart des Dienstes bestehen bleiben. Um diese Verbote anhaltend zu machen, müssen Sie ein paar weitere Schritte ausführen:

1. Bearbeiten die /etc/fail2ban/jail.lokal Datei mit dem folgenden Befehl:

$ sudo nano/etc/fail2ban/jail.lokal

Suche nach Banaktion Eingabe in dieser Datei. Der folgende Screenshot zeigt das Banaktion Ist Iptables-Multiport.

2. Bearbeiten Sie die Banaktionsdatei Iptables-Multiport Verwenden Sie den folgenden Befehl:

$ sudo nano/etc/fail2ban/action.D/iptables-Multiport.Conf

Unter dem Actionstart Standardeinträge fügen Sie die folgenden Zeilen hinzu:

# Verbote anhaltend machen
Katze/etc/fail2ban/ip.verboten | Während des Lesens IP; tat iptables -i fail2ban- 1 -s $ ip -J Drop; Erledigt

Und unter dem Actionban Standardeinträge fügen Sie die folgenden Zeilen hinzu:

# Verbote anhaltend machen
echo '' >>/etc/fail2ban/ip.verboten

Sie können sich auch für Klarheit auf den folgenden Screenshot beziehen.

Speichern und schließen Sie dann die Datei und starten Sie den Fail2ban -Dienst neu:

$ sudo systemctl restart fail2ban

Fail2ban fügt die verbotenen IPs zum/etc/fail2ban/ip hinzu.verbotene Datei. Sie können dieser Datei auch manuell iPs hinzufügen. Das verbotene IP.

Das ist alles, was es gibt! In diesem Artikel haben wir erklärt, wie die Verwendung des Fail2ban; Sie können die Verbotzeit ändern oder eine IP für immer verbieten, die wiederholt nicht authentifiziert wird.