Вопросы Теги

Fail2ban в Debian Buster - правильный способ настройки?

Fail2ban можно настроить во многих местах. 

$ fail2ban-client -i 
Fail2Ban v0.10.2 reads log file that contains password failure report
and bans the corresponding IP addresses using firewall rules.

В Debian Buster я могу редактировать свои настройки в нескольких файлах конфигурации: 

/etc/fail2ban/jail.d/defaults-debian.conf
/etc/fail2ban/fail2ban.conf
/etc/fail2ban/jail.conf
/etc/fail2ban/action.d/

Некоторые учебники рекомендуют: 

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

В документации по fail2ban говорится:

Изменения должны производиться в .local, а не в .conf. Это позволяет избежать проблемы слияния при обновлении. Эти файлы хорошо документированы, и там должна быть доступна подробная информация.

Означает ли это, что каждый файл .conf, который я хочу редактировать, должен существовать как файл .local?

Я запутался! Может кто-нибудь пролить свет на это, пожалуйста?

2
задан 30 December 2019 в 13:15
1 ответ

Просто копия 

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Затем редактирование, которое этот файл и прокручивает вниз к фильтрам, которые Вы хотите использовать.

В тех фильтрах, добавьте enabled = true. Я рекомендую не включить слишком много фильтров вначале. Один или два достаточно.

Взгляд в filter.d каталог для наблюдения всех доступных фильтров. Fail2ban работает с файлами журнала. Таким образом, фильтры должны соответствовать соответствующим файлам журнала. Можно протестировать это с [1 115]

fail2ban-regex <logfile>

, Например

fail2ban-regex /var/log/nginx/default_access.log /etc/fail2ban/filter.d/nginx-botsearch.conf

, Этот фильтр ищет 404 ошибки в access.log и блокирует их, если условия соответствуют. Для условий посмотрите ниже.

Перезапуск fail2ban после того, как Вы закончили редактировать: 

systemctl restart fail2ban

Другие настройки в Вашем jail.local файл: 

bantime  = 7200
findtime  = 10m
maxretry = 10

средства 10 ошибок через 10 минут приведут к 2-часовому запрету.

, Если Вы не хотите использовать iptables для запрета, можно изменить Ваш banaction 

banaction = ufw

, Посмотрите действия в [1 111]. С этой установкой fail2ban будет использовать ufw для блокирования дюйм/с

убедиться исключить локальный диапазон IP из запрета, таким образом, Вы не сможете запретить себя.: ignoreip = 127.0.0.1/8:: 1 192.168.178.0/24

я предложил бы, чтобы Вы не изменили фильтры или действия. Используйте включенные и будьте счастливы.

2
ответ дан 31 December 2019 в 11:52

Теги

Похожие вопросы