Fail2ban es una herramienta de utilidad de seguridad de Internet para administradores de servidores web y servidores Linux. Puede usar la herramienta Fail2ban para controlar, monitorear y agregar reglas en su servidor Linux. Suponga que tiene un sitio web en cualquier plataforma de alojamiento. En ese caso, es posible que sepa que si ingresa el nombre de usuario o la contraseña incorrectos con rapidez, el sistema evita automáticamente que inicie sesión en su WHM o c-Panel y en el tablero. Si tiene un servidor que se ejecuta en un sistema Linux, puede mantener el sistema de monitoreo de inicio de sesión de su servidor utilizando la herramienta Fail2ban. Debo decir que, si usted es un administrador de servidor Linux, instalar Fail2ban es un excelente intento de hacer que su servidor sea seguro y estable.
Características importantes de Fail2ban
Fail2ban está escrito en Python y puede evitar que su servidor Linux sufra ataques de fuerza bruta.
Después de recibir un ataque, puede verificar la fuerza de ese ataque en el archivo de registro de Fail2ban. Puede preguntar, ¿puede Fail2ban prevenir los ataques DDOS en su servidor? La respuesta es, Fail2ban no está diseñado para evitar los ataques DDOS; está hecho para evitar intentos de inicio de sesión desconocidos o sospechosos.
Pero, definitivamente, Fail2ban puede reducir la cantidad de ataques DDOS en su servidor Linux. Una vez que instale la herramienta Fail2ban en su servidor Linux y configure los parámetros, puede proteger automáticamente su servidor de los ataques de inicio de sesión.
Fail2ban utiliza el script Jail para hacer que el servidor Linux sea seguro. Jail es el archivo de secuencia de comandos de configuración, donde se establecen todos los parámetros predeterminados de bloqueo y mantenimiento de IP. Comprender el script Jail es esencial para garantizar la seguridad de su servidor Linux.
Para ver los archivos de configuración de Fail2ban, ejecute el siguiente comando list en su terminal. Encontraras un fail2ban.conf y un jail.d archivo dentro de la lista. Trabajaremos en el jail.d archivo para volver a configurar los ajustes de Fail2ban.
ls -al /etc/fail2ban/
Enumero las características principales y básicas de la herramienta Fail2ban en el sistema Linux.
- Soporta Python Scrapy
- Bloquear IP para un rango específico
- Bloque sabio de zona horaria global
- Configuración de parámetros personalizados
- Fácil de configurar con Apache, Nginx, SSHD y otros servidores
- Reciba una alerta por correo electrónico
- Instalaciones de prohibición y no prohibición
- Establecer hora de prohibición
Fail2ban en varias distribuciones de Linux
Los entusiastas de Linux deben saber que Linux alimenta la mayoría de los servidores web. Si bien los servidores funcionan con Linux, es obligatorio mantener un punto de referencia de seguridad muy estricto para bloquear los intentos de inicio de sesión no autorizados. En esta publicación, veremos cómo instalar y configurar el paquete Fail2ban en varias distribuciones de Linux. Posteriormente, también veremos cómo modificar y observar la herramienta Fail2ban.
Paso 1: Instale el paquete Fail2ban en Linux
La instalación de Fail2ban en Linux es un proceso sencillo. Necesita actualizar el repositorio de su sistema e instalar el paquete directamente con algunas líneas de comandos de terminal. Revisaré los métodos de instalación de Fail2ban en Debian, Fedora Linux, Red Hat Linux, OpenSuSE y Arch Linux.
1. Instale Fail2ban en distribuciones Ubuntu y Debian
En las distribuciones de Debian, actualizar el repositorio del sistema es el proceso para hacer que su sistema Linux sea más fluido y eficiente. Como instalaremos un nuevo paquete en nuestro sistema, primero debemos actualizar el repositorio del sistema. Puede utilizar las siguientes líneas de comando para actualizar el repositorio de su sistema.
sudo apt update
sudo apt upgrade -y
Ahora, copie y pegue el siguiente comando de administración de paquetes de aptitude para instalar la herramienta Fail2ban dentro de su sistema Debian. Puede usar este comando para Ubuntu, Kubuntu, Linux Mint y otras distribuciones de Debian.
sudo apt install fail2ban
2. Instale Fail2ban en Manjaro
Aquí, hemos elegido Manjaro Linux para mostrar cómo puede instalar el paquete Fail2ban en Arch y distribuciones de Linux basadas en Arch. Manjaro es compatible y mantenido por el proyecto Arch Linux. Puede utilizar lo siguiente packman línea de comandos para instalar el Fail2ban en su Arch Linux.
sudo pacman -S fail2ban
Si encuentra algún error al instalar el paquete, puede ejecutar lo siguiente -Rs comando en su terminal Arch Linux para evitar el error.
sudo pacman -Rs fail2ban
3. Instale Fail2ban en OpenSuSE y SuSE Linux
En SuSE y OpenSuSE Linux, instalar Fail2ban es mucho más fácil que otras distribuciones. Primero, necesita descargar el .ymp archivo de paquete de Fail2ban. Puede descargar el paquete Fail2ban para SuSE Linux desde aquí. Una vez finalizada la descarga, abra el archivo del paquete a través de la tienda de software predeterminada de SuSE Linux. Luego haga clic en el botón de instalación para completar el proceso de instalación.
4. Instale Fail2ban en Fedora
Aquí, le mostraré cómo instalar el paquete Fail2ban en Fedora Linux. Estoy usando el comando DNF para instalar el paquete en Fedora. Primero, instale los paquetes adicionales para la versión Enterprise Linux (EPEL) en su sistema.
sudo dnf install epel-release
Ahora, ejecute el siguiente comando en su terminal de Fedora Linux para obtener el paquete Fail2ban.
sudo systemctl start sshd
sudo dnf install fail2ban
5. Instale Fail2ban en CentOS y Red Linux
Muy raramente, la gente usa Red Hat y CentOS para mantener un servidor. Sin embargo, si tiene un servidor instalado en su Red Hat Linux, puede instalar el paquete Fail2ban en su sistema Linux ejecutando lo siguiente yum comandos en su máquina Linux.
Primero, instale la versión Extra Packages for Enterprise Linux (EPEL) en su sistema. Luego instale el paquete Fail2ban.
sudo yum install epel-release
sudo yum install fail2ban
Paso 2: Configuración del firewall en Linux
Como Fail2ban utiliza un protocolo de red para mantener el servidor Linux, debe asegurarse de que su firewall de Linux esté habilitado y configurado para acceder al paquete Fail2ban. De forma predeterminada, Fail2ban usa el puerto 22 para establecer la conexión. Es por eso que necesita permitir el puerto 22 para Fail2ban. Aquí, veremos cómo puede establecer la configuración del Firewall para Debina y otras distribuciones de Linux.
1. Configuración de firewall para Ubuntu y Debian
Los usuarios de Debian y Ubuntu pueden habilitar la configuración de UFW para agregar la regla de firewall. Siga las líneas de comando de la terminal para configurar el firewall UFW en sus distribuciones Debian. Si el Firewall no está habilitado en su sistema Debian, habilítelo primero.
sudo ufw allow 22
sudo ufw enable
Ahora puede verificar el estado del firewall en su sistema Linux. Verá que el puerto 22 está agregado y permitido en la configuración del firewall.
sudo ufw status
2. Configuración de firewall para Red Hat, CentOS y Fedora Linux
Red Hat, Fedora, Centos, Arch Linux, SuSE y otras distribuciones de Linux utilizan la herramienta Firewalld para configurar los ajustes del firewall. Como sabemos que UFW es una interfaz de firewall basada en línea de comandos dedicada para distribuciones de Debian, de la misma manera, Firewalld es la principal herramienta de administración de la interfaz de programación de aplicaciones (API) donde puede agregar reglas de firewall.
Puede utilizar los siguientes comandos de control del sistema para iniciar, habilitar, detener y volver a cargar Firewalld en su máquina Linux.
systemctl status firewalld
systemctl enable firewalld
sudo firewall-cmd --reload
systemctl stop firewalld
Como ya sabemos, tenemos que permitir el puerto 22 en la configuración del firewall. Utilice los siguientes comandos para agregar la regla. También puede utilizar el sistema de configuración basado en zonas en la herramienta Firewalld.
firewall-cmd --add-port=22/tcp
firewall-cmd --list-all
Ahora, reinicie la herramienta Fail2ban en su sistema Linux.
systemctl restart fail2ban
Paso 3: configurar Fail2ban en Linux
Hasta ahora, hemos instalado Fail2ban y hemos configurado la configuración del firewall. Ahora, veremos cómo configurar los ajustes de Fail2ban. Los ajustes y configuraciones generales son los mismos para todas las distribuciones de Linux. Puede seguir este paso para todas las distribuciones.
Primero, debe configurar los ajustes de la cárcel en Fail2ban. Puede mantener la configuración predeterminada si no necesita realizar ningún cambio. Puede encontrar el script de configuración en el /etc/fail2ban/ directorio. Utilice las siguientes líneas de comandos de terminal para editar y configurar los ajustes de la cárcel.
cd /etc/fail2ban/
sudo cp jail.conf jail.local
sudo nano /etc/fail2ban/jail.conf
Ahora, puede copiar y pegar las siguientes reglas dentro de su secuencia de comandos de configuración de Jail. Aquí, estamos configurando los parámetros bantime, ignoreIP, findtime y maxretry.
[DEFAULT]
ignoreip = 127.0.0.1
bantime = 3600
findtime = 600
maxretry = 3[sshd]
enabled = trueignoreip = 127.0.0.1 ::1 192.168.100.11
Estoy dando una descripción concisa de los parámetros del script Fail2ban.
- bantime – Bantime es la duración de tiempo que desea aplicar para prohibir cualquier dirección IP sospechosa.
- ignorar – El ignoreip se conoce como la dirección IP que la herramienta Fail2ban no desea prohibir ni monitorear. Por lo general, su IP de host actual, dirección IP personal y direcciones de host local se agregan dentro de la lista de ignorados.
- maxretry – Maxretry es un tipo de archivo de registro que almacena los intentos fallidos de inicio de sesión en su servidor Linux. Puede controlar cuántos intentos desea permitir que cualquier usuario inicie sesión.
- tiempo de búsqueda – Findtime es la duración del tiempo pasado que puede agregar a la configuración para buscar y verificar las direcciones IP sospechosas.
También puede desbloquear cualquier dirección IP de la configuración de Fail2ban en Linux. Primero, debe abrir el script de configuración SSHD de Jail. Luego, puede desbloquear la dirección IP deseada.
/etc/fail2ban/jail.d/sshd.local
Utilice las siguientes líneas de comando para desbloquear cualquier dirección IP.
/etc/fail2ban/jail.local
sudo fail2ban-client set sshd unbanip 83.136.253.43
Paso 4: Supervisar el estado de Fail2ban
Una vez que se hayan realizado los pasos de instalación y configuración, ahora puede monitorear las funciones de trabajo de Fail2ban desde su sistema Linux. Aquí, describiré algunas líneas de comandos básicas que puede ejecutar en su terminal Linux para ver y monitorear la herramienta Fail2ban.
Puede utilizar la siguiente línea de comando para ver la información de depuración, la información de seguimiento, el ping y otra información relacionada con la herramienta Fail2ban.
fail2ban-client -vvv -x start
Utilice las siguientes líneas de comandos de terminal para ver el archivo de registro y los archivos de autorización del Fail2ban desde su sistema Linux.
nano /var/log/fail2ban.log
nano /var/log/auth.log
Utilice las siguientes líneas de comando para monitorear el estado del cliente y el estado SSHD del Fail2ban.
sudo fail2ban-client status
sudo fail2ban-client status sshd
Para ver el registro de IP prohibido, ejecute la siguiente línea de comandos de terminal en su shell de Linux.
sudo zgrep 'Ban:' /var/log/fail2ban.log*
Para ver el archivo de registro de errores, ejecute la siguiente línea de comandos de terminal en su terminal de Linux.
/var/log/httpd/error_log
Puede verificar el estado del Fail2ban a través de las líneas de comando de control del sistema. Utilice las líneas de comando de la terminal que se indican a continuación para verificar el estado de Fail2ban en el sistema Linux.
systemctl status fail2ban
systemctl status fail2ban.services
Puede ejecutar los servicios Fail2ban en el inicio de su sistema. Para agregar el paquete Fail2ban en su lista de aplicaciones de inicio, use la siguiente línea de comandos de control del sistema en su terminal Linux.
systemctl enable fail2ban.services
Por último, puede utilizar las siguientes líneas de comandos de terminal que se indican a continuación para iniciar, reiniciar y habilitar los servicios Fail2ban en su sistema Linux.
systemctl enable fail2ban
systemctl start fail2ban
systemctl restart fail2ban
Este paso le mostrará cómo puede recibir una alerta por correo electrónico cuando alguien intente iniciar sesión en su servidor Linux desde un dispositivo no autorizado, utilizando el nombre de usuario o contraseña incorrectos y una red maliciosa. Para establecer la configuración de las alertas de correo electrónico, debe editar el jail.local archivo del directorio Fail2ban.
Primero, puede hacer una copia de la secuencia de comandos de configuración de la cárcel para poder reemplazar la configuración predeterminada si hace algo mal. Ejecute la siguiente línea de comandos para hacer una copia del script Jail.
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Puede utilizar la siguiente línea de comandos que se proporciona a continuación para editar el jail.local script de configuración.
sudo nano /etc/fail2ban/jail.local
Ahora, copie y pegue los comandos de secuencia de comandos que se indican a continuación dentro de su jail.local texto. Luego reemplace el correo electrónico de destino (destemail) y la dirección de correo electrónico del remitente en el script. Luego, puede guardar y salir del script de configuración.
[DEFAULT]
destemail = [email protected]
sender = [email protected]m# to ban & send an e-mail with whois report to the destemail.
action = %(action_mw)s# same as action_mw but also send relevant log lines
#action = %(action_mwl)s
Ahora reinicie la herramienta Fail2ban en su sistema Linux.
sudo systemctl restart fail2ban
Quitar Fail2ban de Linux
La eliminación de Fail2ban en la distribución de Linux requiere el método estándar para desinstalar paquetes de Linux. Ahora, voy a mostrar cómo puede eliminar la herramienta Fail2ban de su sistema Linux. Utilice las siguientes líneas de comando para eliminar el paquete del sistema Debian / Ubuntu Linux.
sudo apt-get remove fail2ban
Utilice las siguientes líneas de comando para eliminar Fail2ban de Fedora, CentOS, Red Hat Linux y otras distribuciones de Linux.
sudo yum remove fail2ban
sudo yum purge fail2ban
sudo yum remove --auto-remove fail2ban
Palabras finales
Sin duda, Fail2ban es una herramienta esencial para los administradores de servidores y sistemas Linux. Si bien el uso de UFW, IPtables y otras herramientas de monitoreo de red ayuda a los administradores de servidores, Fail2ban es un paquete completo que puede evitar inicios de sesión anónimos de usuarios dañinos o anónimos.
En toda la publicación, he descrito los métodos de instalación, configuración y monitoreo de la herramienta Fail2ban en varias distribuciones de Linux. Comparta esta publicación con sus amigos y administradores del servidor Linux si la encuentra útil e informativa. Puede escribir sus opiniones sobre esta publicación en la sección de comentarios.
