¿Cómo instalar y configurar Fail2ban en Ubuntu?

Necesita proteger su servidor de un ataque de fuerza bruta desde Internet. Puedes hacerlo con las herramientas adecuadas. En el ataque de fuerza bruta, el atacante puede enviar múltiples consultas a su servidor. Para mitigar el ataque de fuerza bruta, puede instalar y configurar Fail2Ban en su servidor Ubuntu.

¿Qué es un ataque de fuerza bruta?

El atacante envía múltiples solicitudes de inicio de sesión a su sitio web utilizando la combinación de nombre de usuario y contraseña de su base de datos. El ataque continuará hasta que el nombre de usuario y la contraseña coincidan exactamente. Esto también aumentará la E/S de su sitio web y lo hará lento. Si esto continúa, significa que su sitio web está recibiendo un ataque de fuerza bruta.

Su servidor web recibirá los registros de cada solicitud en un archivo de registro con la dirección IP del remitente. Es una tarea muy difícil encontrar todas las direcciones IP culpables y bloquearlas en su Firewall. En lugar de esto, podemos prevenir el ataque de fuerza bruta con la automatización en Fail2Ban.

Instalar Fail2Ban en Ubuntu:

Es muy fácil instalar Fail2Ban en Ubuntu. Puede consultar los siguientes pasos para instalar Fail2Ban en Ubuntu.

1. Actualice los repositorios y paquetes de Ubuntu con versiones más recientes.
   
   

   # sudo apt-get update
   # sudo apt-get upgrade -y

2. Ejecute el siguiente comando para instalar Fail2Ban en su Ubuntu.
   
   

   # sudo apt-get install fail2ban -y

3. Una vez que esté instalado, ejecute el siguiente comando para permitir la conexión al puerto 22 (SSH) y habilite el firewall en el servidor. Deberá permitir ssh sin falta. No podrá iniciar sesión usando SSH si no está habilitado.
   
   

   # sudo ufw allow ssh 
   # sudo ufw enable
   

4. El proceso de instalación se ha completado. Pasemos a la parte de Configuración.
   
   

Configurar Fail2Ban en Ubuntu:

1. Aquí, crearemos un nuevo archivo de configuración para Fail2Ban dentro de /etc/fail2ban . Ejecute el siguiente comando para crear el archivo de configuración en Fail2Ban.
   
   

   # sudo nano /etc/fail2ban/jail.local
   

2. Pegue el siguiente contenido dentro del archivo de confirmación jail.local.
   
   

   # [DEFAULT] ignoreip = 127.0.0.1/8 ::1
   bantime = 3600
   findtime = 600
   maxretry = 5
   [sshd] enabled = true
   

3. Aquí está la comprensión de cada configuración que hemos establecido en jail.local archivo.

• ignorarip :Introduzca las direcciones IP que no queremos banear. Aquí, hemos ingresado las direcciones IP de Localhost en formatos IPv4 e IPv6. Significa que Fail2Ban no prohibirá que el servidor inicie sesión.
  
  
• bantime :Es en tiempo real en segundos por lo que la dirección IP bloqueada no podrá iniciar sesión. Una vez que se bloquea la dirección IP, no puede volver a iniciar sesión durante 3600 segundos.
  
  
• findtime :findtime es un marco de tiempo en el que ocurrirá el conteo. En este caso, el tiempo de búsqueda es de 600 segundos o 10 minutos. Entonces, si alguien no puede iniciar sesión X veces en 10 minutos, Fail2Ban bloqueará la dirección IP.
  
  
• reintento máximo :reintento máximo es un número de intentos de inicio de sesión fallidos. En este caso, es 5. Significa que después de 5 intentos fallidos, Fail2Ban bloqueará la dirección IP.
  
  

1. Guarde el archivo de configuración y reinicie el servicio Fail2Ban.

Según la configuración anterior, si hay 5 inicios de sesión fallidos en 10 minutos, Fail2Ban bloqueará esa dirección IP durante 3600 segundos, lo que significa 1 hora.

Reinicie el servicio Fail2Ban para guardar y actualizar los cambios realizados en el archivo de configuración.

# sudo service fail2ban restart

El servicio SSH de su servidor está protegido con Fail2Ban. Así es como puedes usar Fail2Ban para proteger tu servidor del ataque BruteForce.