Dans cet article, vous apprendrez à changer le temps d'interdiction dans Fail2ban ainsi que comment interdire une adresse IP pour toujours si vous le souhaitez.
Note
1. Avant de continuer, assurez-vous d'avoir des privilèges sudo.
2. La procédure expliquée ici a été testée sur Ubuntu 22.04. Cependant, la même procédure peut également être utilisée sur d'autres distributions Linux.
Comment installer Fail2ban sur Linux
Fail2ban est disponible dans les référentiels de package de presque toutes les distributions Linux. Vous pouvez l'installer en utilisant les gestionnaires de packages de vos distributions Linux.
Sur Ubuntu et Debian
Pour installer Fail2ban sur des distributions basées à Debian telles que Ubuntu et Debian, utilisez la commande ci-dessous:
$ sudo apt install fail2ban
Sur Centos, Fedora et Rhel
Pour installer Fail2ban sur des distributions basées sur RHEL telles que CentOS, Fedora et Rhel, utilisez les commandes ci-dessous:
$ sudo dnf installer EPEL-libération
$ sudo dnf install fail2ban
Sur Manjaro et Arch
Pour installer Fail2ban sur des distributions basées sur Arch telles que Manjaro et Arch, utilisez la commande ci-dessous:
$ sudo pacman -Sy fail2ban
Une fois installé, vous pouvez démarrer Fail2Ban en utilisant la commande ci-dessous:
$ sudo systemctl start fail2ban
Pour activer le service au démarrage, utilisez la commande ci-dessous:
$ sudo systemctl activer fail2ban
Comment changer le temps d'interdiction dans Fail2ban
Comme nous l'avons indiqué précédemment, le temps par défaut pour lequel une adresse IP est interdite après un nombre spécifique de tentatives d'authentification ratées est de 10 minutes. Il est recommandé de définir le temps d'interdiction assez longtemps pour décourager les tentatives malveillantes. Cependant, il ne devrait pas être trop long que l'utilisateur légitime soit interdit à tort pour ses tentatives d'authentification ratées. Vous pouvez également débanter manuellement une adresse IP légitime plutôt que d'attendre que le temps d'interdiction expire.
Fichier de configuration Fail2ban prison.confli est situé à / etc / fail2ban. Cependant, ne modifiez pas ce fichier directement. Au lieu de cela, copiez le prison.confli déposer à prison.local fichier dans le / etc / fail2ban répertoire et apporter toutes les modifications de configuration dans ce nouveau fichier.
Créer un prison.local fichier, ouvrez le terminal et exécutez la commande ci-dessous:
$ sudo cp / etc / fail2ban / prison.conf / etc / fail2ban / prison.local
Il créera un prison.local Fichier de configuration sous / etc / fail2ban annuaire.
2. Vous pouvez modifier le temps d'interdiction en modifiant le paramètre bantime dans le / etc / fail2ban / prison.local déposer. Modifier le / etc / fail2ban / prison.local Fichier dans n'importe quel éditeur de texte tel que Nano:
$ sudo nano / etc / fail2ban / prison.local
3. Ajustez maintenant la valeur du paramètre bantime en fonction de vos exigences. Disons pour interdire l'adresse IP pendant 20 secondes, définissez la valeur de Bantime à 20. De même, pour interdire l'adresse IP pendant 5 minutes, définissez la valeur de Bantime à 300 secondes.
bantime = 20
Une fois terminé, enregistrez et fermez le / etc / fail2ban / prison.local déposer.
4. Après avoir fait des ajustements au fichier de configuration Fail2Ban, assurez-vous de redémarrer le service pour appliquer les modifications:
$ sudo systemctl redémarrer fail2ban
Maintenant, les adresses IP seront interdites pendant 20 secondes. Vous pouvez également voir les journaux Fail2ban pour vérifier ceci:
$ cat / var / log / fail2ban.enregistrer
Les journaux Fail2ban mis en évidence dans la capture d'écran ci-dessus vérifient qu'une adresse IP 192.168.72.186 est banni à 01:14:14 puis non canalisé après 20 secondes à 01:14:34.
Interdisez en permanence une adresse IP dans Fail2ban
Avec Fail2ban, vous pouvez également interdire définitivement une adresse IP incriminée. Voyons comment l'accomplir:
1. Si vous avez déjà créé le prison.local fichier, alors vous pouvez laisser cette étape.
Créer prison.local Fichier en utilisant cette commande dans le terminal:
$ sudo cp / etc / fail2ban / prison.conf / etc / fail2ban / prison.local
Maintenant le prison.local Le fichier de configuration a été créé.
2. Maintenant, pour interdire définitivement les adresses IP, modifiez le / etc / fail2ban / prison.local Fichier de configuration à l'aide de la commande ci-dessous:
$ sudo nano / etc / fail2ban / prison.local
3. Pour interdire définitivement une adresse IP, définissez la valeur bantime sur -1.
Après cela, enregistrez et sortez du / etc / fail2ban / prison.local déposer.
4. Redémarrez le service Fail2ban comme suit:
$ sudo systemctl redémarrer fail2ban
Après cela, les adresses IP qui font que le nombre spécifique de tentatives de connexion échoue sera interdite en permanence.
Maintenant, enregistrez et fermez le fichier.
Cependant, n'oubliez pas que les IP interdits en permanence ne persisteront pas à travers le système ou le redémarrage du service. Afin de rendre ces interdictions persistantes, vous devrez effectuer quelques étapes supplémentaires:
1. Modifier le / etc / fail2ban / prison.local Fichier à l'aide de la commande ci-dessous:
$ sudo nano / etc / fail2ban / prison.local
Cherchez le banaction Entrée dans ce fichier. La capture d'écran suivante montre le banaction est iptables-multiport.
2. Modifier le fichier de banAction iptables-multiport Utilisation de la commande ci-dessous:
$ sudo nano / etc / fail2ban / action.d / iptables-multiport.confli
Sous le Actionstart Entrées par défaut, ajoutez les lignes suivantes:
# Rendre les interdictions persistantes
chat / etc / fail2ban / ip.Interdire | tout en lisant ip; Do iptables -i fail2ban-1 -s $ ip -j Drop; fait
Et sous le Actionban Entrées par défaut, ajoutez les lignes suivantes:
# Rendre les interdictions persistantes
echo '' >> / etc / fail2ban / ip.banni
Vous pouvez également vous référer à la capture d'écran suivante pour plus de clarté.
Ensuite, enregistrez et fermez le fichier et redémarrez le service Fail2ban:
$ sudo systemctl redémarrer fail2ban
Fail2ban ajoutera les IP interdits au / etc / fail2ban / ip.dossier interdit. Vous pouvez également ajouter manuellement les IP à ce fichier. Les IP interdits persisteront désormais à travers le système ou le redémarrage du service.
C'est tout ce qu'il y a! Dans cet article, nous avons expliqué comment l'utilisation de l'échec2ban; Vous pouvez modifier le temps d'interdiction ou interdire une propriété intellectuelle pour toujours qui ne s'authentifie pas à plusieurs reprises.