Fail2ban - podstawy konfiguracji

Fail2ban jest jednym z podstawowych narzędzi wspomagających zabezpieczanie serwerów opartych o system Linux. Program ten napisany jest w Pythonie i w skrócie mówiąc kontroluje logi, a gdy zachodzi taka potrzeba to dodaje regułę do firewalla, aby odciąć dostęp intruzowi (zazwyczaj botom).
Najważniejszym plikiem konfiguracyjnym programu jest

/etc/fail2ban/jail.conf

i to właśnie nim się zajmiemy.
Pierwsza sekcja nosi nazwę

[DEFAULT]

w niej znajdują się globalne ustawienia programu

ignoreip = 192.168.0.0/16

na początku jest bardzo ważna opcja, odpowiada za ignorowanie IP, czyli dane IP nie będą wycinane na firewallu, w tym wypadku został wpisany LAN 192.168.*.*

bantime = 3600
maxretry = 3

wartości te odpowiadają odpowiednio za czas w sekundach przez jaki będzie wycięte IP i za ilość prób logowania po jakim IP zostanie wycięte na firewallu, pozostałe wartości lepiej zostawić tak jak są standardowo, przejdźmy teraz do części

JAILS

każda sekcja odpowiada za jakąś usługę, jeśli dane więzienie (ang. jail) ma być włączone to ustawiamy

enabled = true

jeśli wylączone to

enabled = false

ważnym parametrem jest

logpath

w którym to musimy podać dobrą ścieżkę do logów z danej usługi, ponieważ program został bardzo przemyślanie napisany i żeby nie obciążać systemu monitorując ruch, monitoruje tylko logi, jeśli nic nie modyfikowaliśmy, to nie trzeba zazwyczaj poprawiać ścieżek do logów

maxretry

jak już wcześniej pisałem, odpowiada za ilość prób logowanie przed wycięciem IP na firewallu, pozostałych opcji nie trzeba modyfikować, a wręcz nie powinno się. Na koniec warto zaznaczyć, że jeśli ręcznie modyfikujemy jakieś ustawienia firewalla, to trzeba później zrestartować fail2ban.