Comment changer d'interdiction de temps échoué2ban, même interdire pour toujours si vous le souhaitez

«Fail2ban est une application d'analyse de journaux open source qui empêche votre système des attaques de force brute. Il analyse les fichiers journaux et bloque les adresses IP qui ont trop de défaillances d'authentification. Cela se produit généralement lorsqu'un utilisateur tente de se connecter à l'aide de la méthode d'essai et d'erreur. Fail2ban prend ensuite des mesures comme la mise à jour des règles du pare-feu pour interdire cette adresse IP pour une période de temps spécifique qui est par défaut de 10 minutes ou 600 secondes. L'adresse IP interdite est automatiquement non canalisée après 10 minutes pour éviter de verrouiller tous les utilisateurs légitimes qui auraient pu tromper par erreur leurs mots de passe à plusieurs reprises."

Dans cet article, vous apprendrez à changer le temps d'interdiction dans Fail2ban ainsi que comment interdire une adresse IP pour toujours si vous le souhaitez.

Note
1. Avant de continuer, assurez-vous d'avoir des privilèges sudo.

2. La procédure expliquée ici a été testée sur Ubuntu 22.04. Cependant, la même procédure peut également être utilisée sur d'autres distributions Linux.

Comment installer Fail2ban sur Linux

Fail2ban est disponible dans les référentiels de package de presque toutes les distributions Linux. Vous pouvez l'installer en utilisant les gestionnaires de packages de vos distributions Linux.

Sur Ubuntu et Debian

Pour installer Fail2ban sur des distributions basées à Debian telles que Ubuntu et Debian, utilisez la commande ci-dessous:

$ sudo apt install fail2ban

Sur Centos, Fedora et Rhel

Pour installer Fail2ban sur des distributions basées sur RHEL telles que CentOS, Fedora et Rhel, utilisez les commandes ci-dessous:

$ sudo dnf installer EPEL-libération
$ sudo dnf install fail2ban

Sur Manjaro et Arch

Pour installer Fail2ban sur des distributions basées sur Arch telles que Manjaro et Arch, utilisez la commande ci-dessous:

$ sudo pacman -Sy fail2ban

Une fois installé, vous pouvez démarrer Fail2Ban en utilisant la commande ci-dessous:

$ sudo systemctl start fail2ban

Pour activer le service au démarrage, utilisez la commande ci-dessous:

$ sudo systemctl activer fail2ban

Comment changer le temps d'interdiction dans Fail2ban

Comme nous l'avons indiqué précédemment, le temps par défaut pour lequel une adresse IP est interdite après un nombre spécifique de tentatives d'authentification ratées est de 10 minutes. Il est recommandé de définir le temps d'interdiction assez longtemps pour décourager les tentatives malveillantes. Cependant, il ne devrait pas être trop long que l'utilisateur légitime soit interdit à tort pour ses tentatives d'authentification ratées. Vous pouvez également débanter manuellement une adresse IP légitime plutôt que d'attendre que le temps d'interdiction expire.

Fichier de configuration Fail2ban prison.confli est situé à / etc / fail2ban. Cependant, ne modifiez pas ce fichier directement. Au lieu de cela, copiez le prison.confli déposer à prison.local fichier dans le / etc / fail2ban répertoire et apporter toutes les modifications de configuration dans ce nouveau fichier.

Créer un prison.local fichier, ouvrez le terminal et exécutez la commande ci-dessous:

$ sudo cp / etc / fail2ban / prison.conf / etc / fail2ban / prison.local

Il créera un prison.local Fichier de configuration sous / etc / fail2ban annuaire.

2. Vous pouvez modifier le temps d'interdiction en modifiant le paramètre bantime dans le / etc / fail2ban / prison.local déposer. Modifier le / etc / fail2ban / prison.local Fichier dans n'importe quel éditeur de texte tel que Nano:

$ sudo nano / etc / fail2ban / prison.local

3. Ajustez maintenant la valeur du paramètre bantime en fonction de vos exigences. Disons pour interdire l'adresse IP pendant 20 secondes, définissez la valeur de Bantime à 20. De même, pour interdire l'adresse IP pendant 5 minutes, définissez la valeur de Bantime à 300 secondes.

bantime = 20

Une fois terminé, enregistrez et fermez le / etc / fail2ban / prison.local déposer.

4. Après avoir fait des ajustements au fichier de configuration Fail2Ban, assurez-vous de redémarrer le service pour appliquer les modifications:

$ sudo systemctl redémarrer fail2ban

Maintenant, les adresses IP seront interdites pendant 20 secondes. Vous pouvez également voir les journaux Fail2ban pour vérifier ceci:

$ cat / var / log / fail2ban.enregistrer

Les journaux Fail2ban mis en évidence dans la capture d'écran ci-dessus vérifient qu'une adresse IP 192.168.72.186 est banni à 01:14:14 puis non canalisé après 20 secondes à 01:14:34.

Interdisez en permanence une adresse IP dans Fail2ban

Avec Fail2ban, vous pouvez également interdire définitivement une adresse IP incriminée. Voyons comment l'accomplir:

1. Si vous avez déjà créé le prison.local fichier, alors vous pouvez laisser cette étape.

Créer prison.local Fichier en utilisant cette commande dans le terminal:

$ sudo cp / etc / fail2ban / prison.conf / etc / fail2ban / prison.local

Maintenant le prison.local Le fichier de configuration a été créé.

2. Maintenant, pour interdire définitivement les adresses IP, modifiez le / etc / fail2ban / prison.local Fichier de configuration à l'aide de la commande ci-dessous:

$ sudo nano / etc / fail2ban / prison.local

3. Pour interdire définitivement une adresse IP, définissez la valeur bantime sur -1.

Après cela, enregistrez et sortez du / etc / fail2ban / prison.local déposer.

4. Redémarrez le service Fail2ban comme suit:

$ sudo systemctl redémarrer fail2ban

Après cela, les adresses IP qui font que le nombre spécifique de tentatives de connexion échoue sera interdite en permanence.

Maintenant, enregistrez et fermez le fichier.

Cependant, n'oubliez pas que les IP interdits en permanence ne persisteront pas à travers le système ou le redémarrage du service. Afin de rendre ces interdictions persistantes, vous devrez effectuer quelques étapes supplémentaires:

1. Modifier le / etc / fail2ban / prison.local Fichier à l'aide de la commande ci-dessous:

$ sudo nano / etc / fail2ban / prison.local

Cherchez le banaction Entrée dans ce fichier. La capture d'écran suivante montre le banaction est iptables-multiport.

2. Modifier le fichier de banAction iptables-multiport Utilisation de la commande ci-dessous:

$ sudo nano / etc / fail2ban / action.d / iptables-multiport.confli

Sous le Actionstart Entrées par défaut, ajoutez les lignes suivantes:

# Rendre les interdictions persistantes
chat / etc / fail2ban / ip.Interdire | tout en lisant ip; Do iptables -i fail2ban- 1 -s $ ip -j Drop; fait

Et sous le Actionban Entrées par défaut, ajoutez les lignes suivantes:

# Rendre les interdictions persistantes
echo '' >> / etc / fail2ban / ip.banni

Vous pouvez également vous référer à la capture d'écran suivante pour plus de clarté.

Ensuite, enregistrez et fermez le fichier et redémarrez le service Fail2ban:

$ sudo systemctl redémarrer fail2ban

Fail2ban ajoutera les IP interdits au / etc / fail2ban / ip.dossier interdit. Vous pouvez également ajouter manuellement les IP à ce fichier. Les IP interdits persisteront désormais à travers le système ou le redémarrage du service.

C'est tout ce qu'il y a! Dans cet article, nous avons expliqué comment l'utilisation de l'échec2ban; Vous pouvez modifier le temps d'interdiction ou interdire une propriété intellectuelle pour toujours qui ne s'authentifie pas à plusieurs reprises.