Jack Wallen lo guía a través del proceso de instalación de fail2ban en Ubuntu Server 22.04 para evitar intentos de inicio de sesión maliciosos.
Fail2ban es una de las primeras cosas que debe instalar en sus nuevas implementaciones de servidores Linux. Una vez implementado, fail2ban funciona para evitar ataques de inicio de sesión maliciosos y de fuerza bruta y puede usarse para monitorear protocolos como HTTP, SSH y FTP.
Si fail2ban detecta un intento de inicio de sesión malicioso, bloqueará automáticamente la dirección IP infractora, por lo que se evitará que quien intente el ataque obtenga acceso.
Lo guiaré a través del proceso de instalación de fail2ban en la última versión de Ubuntu Server (22.04, también conocida como Jammy Jellyfish).
Lo que necesitarás
Lo único que necesitará para poner en marcha fail2ban es una instancia de Ubuntu Server 22.04 y un usuario con privilegios sudo.
Eso es todo:Aseguremos ese servidor.
Cobertura de lectura obligada para desarrolladores
Cómo instalar fail2ban
La instalación de fail2ban es increíblemente sencilla. Inicie sesión en su instancia de Ubuntu Server y emita el comando:
sudo apt-get install fail2ban -y
Inicie y habilite el servicio fail2ban con:
sudo systemctl enable --now fail2ban
Si está ejecutando el firewall UFW, y debería hacerlo, es posible que deba permitir el tráfico SSH en el servidor con el comando:
sudo ufw allow ssh
Cómo configurar fail2ban
Fail2ban depende de algunos archivos y directorios diferentes, que son:
- fail2ban.conf:el archivo de configuración principal
- jail.conf:una configuración de cárcel de muestra
- action.d:contiene varias configuraciones de acciones fail2ban para elementos como el correo y el cortafuegos
- jail.d:contiene configuraciones de cárcel adicionales de fail2ban
Vamos a crear un nuevo archivo, jail.local, y configuraremos fail2ban para evitar inicios de sesión SSH maliciosos.
Cree el nuevo archivo con:
sudo nano /etc/fail2ban/jail.local
En ese archivo, pegue los siguientes contenidos:
[sshd] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3 findtime = 300 bantime = 28800 ignoreip = 127.0.0.1
Aquí está la descripción de lo anterior:
- habilitado:habilita la cárcel
- puerto:el puerto que fail2ban escuchará
- filtro:el filtro integrado que usará fail2ban
- logpath:el directorio que aloja el registro de fail2ban
- maxretry:el número de intentos fallidos permitidos antes de que se bloquee una IP
- findtime:la cantidad de tiempo entre intentos fallidos de inicio de sesión
- bantime:número de segundos que una dirección IP está bloqueada
- ignoreip:una dirección IP que debe ser ignorada por fail2ban
Guarde y cierre el archivo.
Reinicie fail2ban con:
sudo systemctl restart fail2ban
Cómo probar fail2ban
Inicie sesión en otra máquina e intente un inicio de sesión SSH en el servidor que aloja fail2ban. Asegúrese de escribir la contraseña incorrectamente 3 veces.
Después del tercer intento, SSH lo bloqueará y deberá usar la combinación de teclas CTRL + C para regresar al indicador. Si intenta otro inicio de sesión SSH, aparecerá un error de Conexión rechazada.
Cómo desbanear una dirección IP
Después de la prueba, es posible que desee desbanear la dirección IP que utilizó. Asegúrate de tener una IP prohibida con el comando:
sudo fail2ban-client status sshd
Debería ver algo como lo siguiente en la lista:
Status for the jail: sshd
|- Filter | |- Currently failed: 0 | |- Total failed: 3 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 1 |- Total banned: 1 `- Banned IP list: 192.168.1.40
Para desbanear la dirección IP 192.168.1.40, debe ejecutar el comando:
sudo fail2ban-client set sshd unbanip 192.168.1.40
Debería ver el número uno impreso, porque esa es la cantidad de direcciones IP que acaba de desbanear.
También puede prohibir manualmente una IP con el comando:
sudo fail2ban-client set sshd banip 192.168.1.40
Felicitaciones, instaló y configuró correctamente fail2ban para bloquear los inicios de sesión SSH no deseados en su instancia de Ubuntu Server.