Installazione e configurazione di Fail2ban su Ubuntu 20.04
Fail2ban è un'utilità basata su Python che fornisce sicurezza contro attacchi informatici come attacchi DDoS, attacchi bot di forzatura bruta e simili. È gratuito e open source e può essere utilizzato su sistemi POSIX, che includono un firewall locale. Per riassumere come funziona Fail2ban, cerca attivamente segnali di potenziali abusi di autenticazione della password per filtrare gli indirizzi IP e aggiornare regolarmente il firewall del sistema per sospendere questi indirizzi IP per un certo periodo.
Questa breve guida ti mostrerà come configurare Fail2ban sul tuo sistema Ubuntu 20.04.
Aggiorna l'elenco ufficiale dei pacchetti
Riceveremo fail2ban dai repository ufficiali di Ubuntu. Accendi il terminale e inserisci il seguente comando per aggiornare l'elenco dei pacchetti per l'ultima versione disponibile di Fail2ban:
Installa Fail2ban
Quindi, inserisci il seguente comando per installare il pacchetto Fail2ban aggiornato:
Il servizio fail2ban si attiverà e si avvierà da solo al momento dell'installazione.
Verificare l'installazione
Dovresti comunque verificare se è stato installato correttamente. Esegui il comando seguente per verificare l'installazione:
Se la riga Attivo nell'output contiene attivo (in esecuzione), è tutto a posto. Andiamo avanti e vediamo come configurare Fail2ban.
Configurazione di Fail2ban su Ubuntu 20.04
Per configurare Fail2ban su Ubuntu, modificheremo due particolari file di configurazione. Uno è jail.conf nella posizione /etc/fail2ban/ e l'altro si chiama defaults-debian.conf in /etc/fail2ban/jail.d /. Ma per mantenere la loro integrità, non li modificheremo direttamente, poiché ciò potrebbe potenzialmente danneggiare il programma e sicuramente non saremo in grado di aggiornare il software. Invece, ne facciamo copie ed eseguiamo la modifica su di esse.
Esegui il comando seguente per copiare e incollare jail.conf come jail.local:
Ci impegneremo a modificare questo file specifico in questo tutorial. Avvia la copia in un editor di testo per iniziare la modifica. Esegui il seguente comando:
Vediamo quali modifiche possiamo apportare.
Configurazione dei parametri di divieto IP
Il tempo di ban di tutti gli indirizzi IP è impostato da un parametro noto come bantime. Il valore impostato per bantime per impostazione predefinita è di soli 10 minuti. Puoi modificare il suo valore in base al limite di tempo che desideri imporre al bandito. Ad esempio, per impostare il bantime per tutti gli indirizzi IP vietati, potresti impostarlo come:
Puoi anche effettuare ban permanenti assegnando un valore negativo.
Un'altra variabile molto importante è findtime. Definisce la durata temporale consentita tra tentativi di accesso consecutivi. Se i tentativi di accesso multipli venissero effettuati entro il tempo definito da findtime, verrebbe impostato un ban sull'IP.
Infine, c'è maxretry. Definisce il numero esatto di tentativi di accesso non riusciti consentiti entro findtime. Se il numero di tentativi di autorizzazione non riusciti entro findtime supera il valore maxretry, all'IP verrà impedito di accedere nuovamente. Il valore predefinito è 5.
Fail2ban ti consente anche di garantire l'immunità agli indirizzi IP e agli intervalli IP di tua scelta. Le condizioni discusse sopra non verranno applicate a questi IP, consentendoti essenzialmente di creare una sorta di whitelist.
Per aggiungere un IP a questa whitelist, modifica la riga ignoreip e digita l'indirizzo IP da esentare:
Come amministratore, dovresti aggiungere il tuo indirizzo IP a questa whitelist prima di ogni cosa.
Avvolgendo
Questo tutorial ti ha mostrato come configurare Fail2ban su Ubuntu. L'abbiamo installato direttamente dai repository Ubuntu standard. Abbiamo anche esaminato come possiamo configurarlo e in che modi. Ora dovresti sapere come impostare le condizioni di ban e come escludere gli IP dall'ottenimento del ban.