L'outil fail2ban surveille vos fichiers journaux et agit dès qu'il découvre un comportement malveillant de la manière que vous lui avez indiquée. Un cas d'utilisation courant consiste à bloquer les adresses IP malveillantes en établissant des règles de pare-feu à la volée à l'aide d'iptables.
Il s'agit d'un outil qui sert à protéger une variété de services, notamment SSH, FTP, SMTP, Apache et bien d'autres, contre les visiteurs indésirables. Il fonctionne en lisant les fichiers journaux pour les modèles basés sur les tentatives de connexion infructueuses et traite les adresses IP incriminées en conséquence. Bien sûr, vous avez peut-être déjà renforcé votre serveur SSH ou un autre service au niveau de l'application directe, mais c'est le but de cette recette de montrer que, face à la possibilité d'attaques par force brute, une couche de protection supplémentaire est toujours utile. .
Désinstaller fail2ban sur Ubuntu
Malgré les fonctionnalités fournies par fail2ban, vous souhaiterez peut-être toujours désinstaller le package. Pour ce faire, suivez les étapes décrites ci-dessous :
1. Supprimez le package fail2ban :
$ sudo apt-get remove fail2ban
2. Désinstallez fail2ban, y compris le package dépendant. Si vous souhaitez supprimer fail2ban et ses packages dépendants qui ne sont plus nécessaires à partir d'Ubuntu,
$ sudo apt-get remove --auto-remove fail2ban
Utiliser la purge fail2ban
Si vous utilisez avec les options de purge pour le package fail2ban, tous les packages de configuration et dépendants seront supprimés.
$ sudo apt-get purge fail2ban
Si vous utilisez les options de purge avec la suppression automatique, tout ce qui concerne le paquet sera supprimé, c'est vraiment utile lorsque vous souhaitez réinstaller à nouveau.
$ sudo apt-get purge --auto-remove fail2ban
Réinstaller fail2ban dans Ubuntu
L'installation et la configuration de Fail2ban sont relativement simples. Tout d'abord, installez son package :
$ sudo apt install fail2ban
Après l'installation, le démon fail2ban démarrera et sera configuré pour démarrer automatiquement au démarrage. La configuration de fail2ban consiste simplement à créer un fichier de configuration. La façon la plus simple de commencer est de faire une copie de jail.conf et de l'enregistrer sous jail.local :
$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Modifiez le fichier de configuration /etc/fail2ban/jail.local selon vos besoins et redémarrez le service fail2ban :
$ sudo systemctl restart fail2ban $ sudo systemctl status -l fail2ban
Conclusion
Fail2Ban est un programme tiers qui s'exécute en arrière-plan et surveille les journaux. Lorsque des lignes de connexion spécifiques (telles que la ligne de défi d'authentification montrée précédemment) sont vues un certain nombre de fois, Fail2Ban entreprend une action. Il peut être programmé pour vous envoyer un e-mail avec une alerte ou utiliser automatiquement IPTables pour bloquer une adresse IP incriminée après trop de tentatives dans un certain laps de temps.