Nesta postagem, descreveremos como alterar o tempo de banimento no fail2ban. Também descreveremos como banir permanentemente um endereço IP se você precisar fazer isso.
Pré-requisitos:
- Pacote Fail2ban instalado em Linux
- Usuário com privilégios Sudo
Observação: O procedimento explicado aqui foi testado no Ubuntu 20.04. No entanto, você pode seguir o mesmo procedimento para outras distribuições Linux com fail2ban instalado.
Alterar o tempo de banimento em fail2ban
Conforme descrito acima, o tempo de banimento padrão em fail2ban é de 10 minutos. O tempo de banimento é o período de tempo (em segundos) durante o qual um IP é banido após um número específico de tentativas de autenticação com falha. A maneira preferível é definir este tempo longo o suficiente para interromper as atividades do usuário mal-intencionado. No entanto, não deve demorar muito para o usuário legítimo ser banido por engano por suas tentativas de autenticação malsucedidas. Observe que quando um usuário legítimo é banido, você também pode cancelar o banimento manualmente em vez de esperar que o tempo de banimento expire.
O tempo de proibição pode ser alterado ajustando o bantime parâmetro no arquivo de configuração fail2ban. Fail2ban vem com o arquivo de configuração cadeia.conf debaixo de / etc / fail2ban diretório. No entanto, é recomendado não editar este arquivo diretamente. Em vez disso, para alterar qualquer configuração, você precisará criar uma prisão.arquivo local.
1. Se você já criou a prisão.arquivo local, então você pode sair desta etapa. Criar prisão.arquivo local usando este comando no Terminal:
$ sudo cp / etc / fail2ban / jail.conf / etc / fail2ban / jail.localAgora o cadeia.local arquivo de configuração foi criado.
2. Agora, para alterar o tempo de proibição, você precisará ajustar o bantime parâmetro no cadeia.local Arquivo. Para fazer isso, edite o cadeia.local arquivo da seguinte forma:
$ sudo nano / etc / fail2ban / jail.local3. Mudar o bantime valor do parâmetro para o valor desejado. Por exemplo, para proibir os endereços IP de, digamos, 20 segundos, você precisará alterar o valor existente de bantime para 20. Em seguida, salve e saia do cadeia.local Arquivo.
4. Reinicie o serviço fail2ban da seguinte maneira:
$ sudo systemctl reiniciar fail2banDepois disso, os endereços IP que fazem um número específico de tentativas de conexão malsucedidas serão banidos por 20 segundos. Você também pode confirmar olhando os registros:
$ cat / var / log / fail2ban.registro
Os registros acima confirmam que a diferença de tempo entre um banimento e uma ação de cancelamento é 20 segundos.
Banir permanentemente um endereço IP em fail2ban
Você também pode banir permanentemente um endereço IP de origem em fail2ban. Siga as etapas abaixo para fazer isso:
1. Se você já criou o cadeia.local arquivo, então você pode sair desta etapa. Crio cadeia.local arquivo usando este comando no Terminal:
$ sudo cp / etc / fail2ban / jail.conf / etc / fail2ban / jail.localAgora o cadeia.local arquivo de configuração foi criado.
2. Agora, para banir permanentemente os endereços IP, você precisará alterar o bantime valor do parâmetro para -1. Para fazer isso, primeiro edite o cadeia.local arquivo de configuração da seguinte forma:
$ sudo nano / etc / fail2ban / jail.local3. Agora, para banir permanentemente os endereços IP, altere o bantime parâmetro valor existente para -1.
Em seguida, salve e saia do cadeia.local Arquivo.
4. Reinicie o serviço fail2ban da seguinte maneira:
$ sudo systemctl reiniciar fail2banDepois disso, os endereços IP que fazem um número específico de tentativas de conexão malsucedidas serão banidos permanentemente.
Isso é tudo! Esta postagem descreve como alterar o tempo de banimento ou banir permanentemente um IP de origem fazendo tentativas incorretas de autenticação usando fail2ban.