Fail2ban можно настроить во многих местах.
$ fail2ban-client -i
Fail2Ban v0.10.2 reads log file that contains password failure report
and bans the corresponding IP addresses using firewall rules.
В Debian Buster я могу редактировать свои настройки в нескольких файлах конфигурации:
/etc/fail2ban/jail.d/defaults-debian.conf
/etc/fail2ban/fail2ban.conf
/etc/fail2ban/jail.conf
/etc/fail2ban/action.d/
Некоторые учебники рекомендуют:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
В документации по fail2ban говорится:
Изменения должны производиться в .local, а не в .conf. Это позволяет избежать проблемы слияния при обновлении. Эти файлы хорошо документированы, и там должна быть доступна подробная информация.
Означает ли это, что каждый файл .conf, который я хочу редактировать, должен существовать как файл .local?
Я запутался! Может кто-нибудь пролить свет на это, пожалуйста?
Просто копия
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Затем редактирование, которое этот файл и прокручивает вниз к фильтрам, которые Вы хотите использовать.
В тех фильтрах, добавьте enabled = true
. Я рекомендую не включить слишком много фильтров вначале. Один или два достаточно.
Взгляд в filter.d
каталог для наблюдения всех доступных фильтров. Fail2ban работает с файлами журнала. Таким образом, фильтры должны соответствовать соответствующим файлам журнала. Можно протестировать это с [1 115]
fail2ban-regex <logfile>
, Например
fail2ban-regex /var/log/nginx/default_access.log /etc/fail2ban/filter.d/nginx-botsearch.conf
, Этот фильтр ищет 404
ошибки в access.log и блокирует их, если условия соответствуют. Для условий посмотрите ниже.
Перезапуск fail2ban после того, как Вы закончили редактировать:
systemctl restart fail2ban
Другие настройки в Вашем jail.local
файл:
bantime = 7200
findtime = 10m
maxretry = 10
средства 10 ошибок через 10 минут приведут к 2-часовому запрету.
, Если Вы не хотите использовать iptables для запрета, можно изменить Ваш banaction
banaction = ufw
, Посмотрите действия в [1 111]. С этой установкой fail2ban будет использовать ufw для блокирования дюйм/с
убедиться исключить локальный диапазон IP из запрета, таким образом, Вы не сможете запретить себя.: ignoreip = 127.0.0.1/8:: 1 192.168.178.0/24
я предложил бы, чтобы Вы не изменили фильтры или действия. Используйте включенные и будьте счастливы.