Cómo instalar y configurar Fail2ban en Debian 11

Cada servidor que se puede acceder desde Internet corre un gran riesgo de ataques de fuerza bruta y malware. Los piratas informáticos intentan usar intentos de fuerza bruta para obtener acceso a aplicaciones que sean accesibles en las redes públicas.

Fail2ban es una herramienta que se utiliza para proteger las máquinas basadas en Linux de los ataques automatizados al mejorar su seguridad. Monitorea los registros para cualquier actividad maliciosa y permite al usuario bloquear las direcciones IP remotas temporal o permanentemente

Esta guía práctica explicará cómo instalar, configurar y configurar Fail2ban en un sistema basado en Debian 11.

Cómo instalar Fail2ban en Debian 11

Fail2ban está disponible en el repositorio predeterminado de Debian 11, por lo que se puede instalar fácilmente utilizando el Administrador de paquetes predeterminado de Debian:

sudo apt instalación fail2ban -y  

Después de una instalación exitosa, el servicio Fail2Ban debe comenzar automáticamente. Puede verificar esto ejecutando el comando:

sudo systemctl status fail2ban  

Si el servicio no está activo en su sistema, puede usar los siguientes comandos para iniciarlo y habilitarlo:

sudo systemctl inicio fail2ban  ssudo systemctl habilitar fail2ban  

Cómo configurar Fail2Ban en Debian 11

Fail2ban viene con dos archivos de configuración diferentes que se encuentran en el directorio /etc /fail2ban. Estos archivos de configuración tienen una configuración básica que no debe modificarse, ya que estos archivos pueden sobrescribirse cuando llega una actualización de paquete.

Podemos usar un separado .Archivo local como archivo de configuración para evitar cualquier molestia futura. Entonces haremos un archivo de configuración local copiando la cárcel.Archivo Conf:

sudo cp/etc/fail2ban/cárcel.conf, local  

Ahora, abra el archivo recién creado en un editor de texto:

sudo nano/etc/fail2ban/cárcel.local  

Aquí puede actualizar la configuración de acuerdo con sus necesidades. Puedes agregar un ignorar Directiva para ignorar/Whitelist IP de la prohibición de la prohibición. Aquí he enumerado dos direcciones IP diferentes como ejemplos. Puede poner cualquier dirección IP que desee para blanca:

ignorar = 127.0.0.15/8 192.168.1.24/2 

El bantime La directiva se puede utilizar para establecer una duración del tiempo para el cual una dirección IP permanecerá prohibida. Podemos usar un sufijo como M, D para especificar la unidad de tiempo que, por defecto, está en segundos.

Bantime = 120m 

El FindTime La directiva especifica la duración del tiempo para el número de fallas antes de que se coloque una prohibición. Si Fail2ban prohibirá una IP después de 4 intentos fallidos, la Directiva FindTime define el intervalo de tiempo en el que deben ocurrir las fallas.

FindTime = 2m 

El maxretería se usa para definir el número de intentos fallidos antes de que una IP sean en la lista negra.

Maxretry = 5 

Después de realizar todos los cambios necesarios, simplemente puede guardar y guardar el archivo de configuración.

Ahora reinicie el servicio para dejar que los cambios entren en vigencia:

sudo systemctl reiniciar fail2ban.servicio  

Conclusión

Fail2ban nos permite configurar nuestro sistema de una manera que se vuelva más segura contra los ataques brutos, así como otras actividades maliciosas. Protege nuestro sistema revisando los registros y las direcciones IP de la lista negra que son sospechosos. Estas medidas de seguridad son esenciales, especialmente para los sistemas que son accesibles en las redes públicas. En este artículo, aprendimos a instalar, configurar y configurar Fail2ban en Debian 11.