Hur man ändrar bantid fail2ban, till och med förbjuder evigt om så önskas

Fail2ban är en öppen källkod för förebyggande av intrång som förbjuder IP-adresser, vilket gör för många inloggningar med fel lösenord. Som standard är förbudsperioden 10 minuter eller 600 sekunder. Det avbryter automatiskt IP: n efter 10 minuter för att undvika att låsa ut något legitimt system som kan ha felaktigt angett fel lösenord. Om du vill kan du enkelt ändra (öka eller minska) standardförbudstiden.

I det här inlägget kommer vi att beskriva hur man ändrar förbudstid i fail2ban. Vi kommer också att beskriva hur man permanent förbjuder en IP-adress om du någonsin behöver göra det.

Förutsättningar:

• Fail2ban-paket installerat på Linux
• Sudo privilegierad användare

Notera: Förfarandet som förklaras här har testats på Ubuntu 20.04. Du kan dock följa samma procedur för andra Linux-distributioner som har fail2ban installerat.

Ändra förbudstid i fail2ban

Som beskrivits ovan är standardförbudstiden i fail2ban 10 minuter. Förbudstiden är den tid (i sekunder) under vilken en IP förbjuds efter ett visst antal misslyckade autentiseringsförsök. Det bästa sättet är att ställa in den här tiden tillräckligt lång för att störa skadliga användaraktiviteter. Det bör dock inte ta för lång tid för den legitima användaren att av misstag förbjudas för sina misslyckade autentiseringsförsök. Observera att när en legitim användare är förbjuden kan du också avmanera den manuellt istället för att vänta på att förbudstiden löper ut.

Förbudstiden kan ändras genom att justera bantime parameter i fail2ban-konfigurationsfilen. Fail2ban levereras med konfigurationsfilen fängelse.konf under / etc / fail2ban katalog. Det rekommenderas dock att du inte redigerar den här filen direkt. Istället måste du skapa ett fängelse för att ändra konfigurationer.lokal fil.

1. Om du redan har skapat fängelset.lokal fil kan du lämna det här steget. Skapa fängelse.lokal fil med det här kommandot i Terminal:

$ sudo cp / etc / fail2ban / fängelse.conf / etc / fail2ban / fängelse.lokal

Nu den fängelse.lokal konfigurationsfilen har skapats.

2. För att ändra förbudstiden måste du justera bantime parameter i fängelse.lokal fil. För att göra det, redigera fängelse.lokal filen enligt följande:

$ sudo nano / etc / fail2ban / fängelse.lokal

3. Ändra bantime parametervärde till önskat värde. Till exempel, för att förbjuda IP-adresserna för, låt oss säga, 20 sekunder, du måste ändra det befintliga värdet av bantime till 20. Spara och avsluta sedan fängelse.lokal fil.

4. Starta om fail2ban-tjänsten enligt följande:

$ sudo systemctl starta om fail2ban

Därefter kommer de IP-adresserna som gör ett visst antal misslyckade anslutningsförsök att förbjudas 20 sekunder. Du kan också bekräfta det genom att titta på loggarna:

$ cat / var / log / fail2ban.logga

Ovanstående loggar bekräftar tidsskillnaden mellan ett förbud och en avstängning 20 sekunder.

Förbjud en IP-adress permanent i fail2ban

Du kan också permanent förbjuda en källans IP-adress i fail2ban. Följ stegen nedan för att göra det:

1. Om du redan har skapat fängelse.lokal filen kan du lämna det här steget. Skapa fängelse.lokal fil med det här kommandot i Terminal:

$ sudo cp / etc / fail2ban / fängelse.conf / etc / fail2ban / fängelse.lokal

Nu den fängelse.lokal konfigurationsfilen har skapats.

2. För att permanent förbjuda IP-adresserna måste du ändra bantime parametervärde till -1. För att göra det, redigera först fängelse.lokal konfigurationsfil enligt följande:

$ sudo nano / etc / fail2ban / fängelse.lokal

3. Ändra nu för att permanent förbjuda IP-adresserna bantime parameter befintligt värde till -1.

Spara och avsluta sedan fängelse.lokal fil.

4. Starta om fail2ban-tjänsten enligt följande:

$ sudo systemctl starta om fail2ban

Därefter kommer IP-adresserna som gör ett visst antal misslyckade anslutningsförsök permanent förbjudna.

Det är allt! Det här inlägget beskrev hur man ändrar förbudstiden eller permanent förbjuder en käll-IP som gör felaktiga autentiseringsförsök med fail2ban.