Автоматическая защита SSH от перебора

Fail2ban - утилита для автоматической блокировки ip-адресов, с которых идёт много неудачных попыток подключения по ssh. Она нужна, когда сервер доступен напрямую по порту 22 и авторизация по SSH открыта во внешний интернет без vpn.

Установка:

sudo apt install fail2ban

По умолчанию fail2ban готов к работе сразу после установки. Чтобы убедиться, что он запущен и будет стартовать автоматически при перезагрузке системы, можно выполнить:

sudo systemctl enable --now fail2ban

Базовая настройка:

Основные параметры fail2ban находятся в конфигурационном файле. Чтобы его изменить, сначала создайте копию стандартного файла, так безопаснее и проще для управления:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Затем отредактируйте файл:

sudo nano /etc/fail2ban/jail.local

В самом верху задаются базовые настройки: сколько времени держать IP заблокированным (bantime), за какой промежуток времени подсчитывать неудачные попытки (findtime), и после скольких попыток банить (maxretry). Например:

[DEFAULT]
ignoreip = 127.0.0.1
bantime  = 3600
findtime = 600
maxretry = 5

Здесь fail2ban будет банить IP на 1 час (3600 секунд), если за последние 10 минут (600 секунд) с него было 5 неудачных попыток входа. Отдельно включается защита SSH:

[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s

После внесения изменений нужно перезапустить fail2ban, чтобы они вступили в силу:

sudo systemctl restart fail2ban

Для проверки текущего состояния защиты SSH используется:

sudo fail2ban-client status sshd

Эта команда покажет, сколько IP-адресов сейчас заблокировано и сколько всего попыток было зафиксировано.

Вывод:

Использовать fail2ban рекомендуется вместе с другими подходами к защите сервера: строгой авторизацией только по ключам, изменением стандартного порта SSH, ограничением доступа с помощью firewall и регулярными обновлениями системы.

LinuxCamp | #utils