Как установить и настроить Fail2ban на VPS Ubuntu?

Защита вашего VPS от несанкционированного доступа – критически важная задача. Fail2ban – это мощный инструмент, который сканирует логи на предмет подозрительных действий, таких как неудачные попытки входа, и автоматически блокирует IP-адреса, с которых эти попытки исходят. В этой статье мы подробно рассмотрим процесс установки и настройки Fail2ban на VPS под управлением Ubuntu, чтобы обеспечить дополнительный уровень безопасности для вашего сервера.

Мы охватим все этапы, от установки пакета Fail2ban до настройки фильтров для защиты от различных типов атак. Вы научитесь определять собственные правила блокировки и адаптировать Fail2ban под конкретные потребности вашего сервера. Этот гайд предназначен как для начинающих, так и для опытных пользователей Linux, стремящихся повысить безопасность своих VPS.

Содержание

Установка Fail2ban

Первым шагом к защите вашего VPS является установка Fail2ban. Ubuntu предоставляет пакет Fail2ban в своих стандартных репозиториях, что значительно упрощает процесс установки.

Для начала, обновите список пакетов, чтобы убедиться, что у вас самые последние версии: 
sudo apt update
Эта команда обновит информацию о доступных пакетах из репозиториев, указанных в вашей системе.
VPS хостинг

Виртуальные серверы с гарантированными ресурсами

Выбрать VPS

Затем установите Fail2ban: 
sudo apt install fail2ban
Эта команда скачает и установит Fail2ban и все необходимые зависимости. Во время установки вам может быть предложено подтвердить установку пакета. Ответьте утвердительно, нажав «Y» и Enter.

После завершения установки Fail2ban автоматически запустится. Вы можете проверить его статус с помощью следующей команды: 
sudo systemctl status fail2ban
Вывод покажет, активен ли сервис Fail2ban, время его работы, а также последние логи. Если сервис не запущен, вы можете запустить его вручную: 

sudo systemctl start fail2ban
И чтобы убедиться, что он запускается автоматически при загрузке системы: 

sudo systemctl enable fail2ban
Пример 1: Обновление и установка Fail2ban. 

sudo apt update && sudo apt install fail2ban
Эта команда объединяет обновление списка пакетов и установку Fail2ban в одну строку, что делает процесс немного быстрее.

Пример 2: Проверка версии Fail2ban. 

fail2ban-client --version
Эта команда выведет версию установленного Fail2ban. Это полезно для отслеживания обновлений безопасности и совместимости с другими приложениями.

Пример 3: Просмотр журнала Fail2ban. 

sudo tail -f /var/log/fail2ban.log
Эта команда отображает последние строки файла журнала Fail2ban в режиме реального времени. Это позволяет отслеживать, какие IP-адреса блокируются и почему. Опция `-f` означает «follow», то есть команда будет продолжать отображать новые строки по мере их добавления в файл.

Основная конфигурация Fail2ban

После успешной установки необходимо настроить Fail2ban для эффективной защиты вашего сервера. Конфигурация Fail2ban управляется через файлы `jail.conf` и `jail.local`. Важно понимать, что `jail.conf` является файлом конфигурации по умолчанию и не рекомендуется его напрямую изменять, поскольку обновления пакета могут перезаписать ваши изменения. Вместо этого следует использовать файл `jail.local` для переопределения параметров из `jail.conf`.

Сначала создайте файл `jail.local` на основе `jail.conf`: 
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Затем откройте `jail.local` для редактирования: 

sudo nano /etc/fail2ban/jail.local
В этом файле вы можете изменить различные параметры, такие как время блокировки, количество попыток до блокировки и адрес электронной почты для уведомлений. Рассмотрим некоторые важные параметры:

  • `bantime`: Определяет, на сколько секунд будет заблокирован IP-адрес. Например, `bantime = 600` означает блокировку на 10 минут.
  • `findtime`: Определяет, в течение какого времени Fail2ban будет отслеживать попытки входа. Например, `findtime = 600` означает, что Fail2ban будет учитывать попытки входа, сделанные в течение последних 10 минут.
  • `maxretry`: Определяет, сколько неудачных попыток входа допустимо в течение `findtime` до блокировки IP-адреса. Например, `maxretry = 3` означает, что после трех неудачных попыток входа IP-адрес будет заблокирован.
  • `destemail`: Укажите адрес электронной почты, на который будут отправляться уведомления о блокировках.
  • `sendername`: Имя отправителя в электронных письмах уведомлений.
Например, чтобы изменить время блокировки на 1 час (3600 секунд), количество попыток до блокировки на 5 и указать адрес электронной почты для уведомлений, внесите следующие изменения в `jail.local`: 

[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
destemail = your_email@example.com
sendername = Fail2ban
Замените `your_email@example.com` на ваш реальный адрес электронной почты.

После внесения изменений сохраните файл и перезапустите Fail2ban, чтобы применить новые настройки: 

sudo systemctl restart fail2ban
Пример 1: Изменение времени блокировки и количества попыток. 

[DEFAULT]
bantime = 7200  ; Блокировка на 2 часа
maxretry = 4    ; 4 неудачные попытки
Этот пример показывает, как изменить время блокировки на 2 часа и разрешить только 4 неудачные попытки входа.

Пример 2: Включение отправки уведомлений по электронной почте. 

[DEFAULT]
destemail = admin@example.com
sendername = Fail2ban VPS
mta = sendmail
action = %(action_mwl)s
Этот пример включает отправку уведомлений на адрес `admin@example.com` с именем отправителя «Fail2ban VPS». `mta = sendmail` указывает, что используется почтовый сервер sendmail (или совместимый), а `action = %(action_mwl)s` определяет действие, которое будет выполнено при блокировке, включая отправку уведомления по электронной почте с информацией о событии. Убедитесь, что на вашем сервере настроен почтовый сервер (например, postfix или sendmail) для отправки уведомлений.

Пример 3: Указание другого файла журнала для мониторинга (не рекомендуется без особой необходимости). 

[DEFAULT]
logfile = /var/log/my_custom_log.log
Этот пример показывает, как изменить файл журнала, который Fail2ban будет мониторить. Внимание: Это следует делать только в том случае, если вы точно знаете, что делаете, и если стандартный файл журнала не содержит нужной информации. Неправильное указание файла журнала может привести к неработоспособности Fail2ban.

Настройка Jail.local для защиты SSH

Fail2ban использует «jails» (тюрьмы) для определения правил блокировки для различных сервисов. Каждая тюрьма связана с определенным сервисом (например, SSH, Apache, Nginx) и определяет, какие логи нужно мониторить, какие шаблоны искать и какие действия предпринимать при обнаружении подозрительной активности. По умолчанию, в файле `jail.conf` уже определены некоторые тюрьмы, но они часто отключены. Для активации и настройки тюрьмы для защиты SSH, необходимо внести изменения в файл `jail.local`.

Откройте файл `jail.local` для редактирования: 

sudo nano /etc/fail2ban/jail.local
Найдите секцию `[sshd]` (или добавьте ее, если ее нет) и внесите следующие изменения: 

[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = systemd
Разберем каждую строку:

  • `enabled = true`: Включает тюрьму sshd.
  • `port = ssh`: Указывает порт, который Fail2ban будет защищать. В данном случае, это стандартный порт SSH (22). Если вы используете нестандартный порт SSH, замените `ssh` на номер вашего порта (например, `port = 2222`).
  • `logpath = %(sshd_log)s`: Указывает путь к файлу журнала SSH. `%(sshd_log)s` – это переменная, определенная в `jail.conf`, которая указывает на стандартный файл журнала SSH.
  • `backend = systemd`: Указывает, как Fail2ban будет отслеживать изменения в файле журнала. `systemd` — это система инициализации, используемая в Ubuntu. Другие возможные значения: `polling`, `gamin`, `inotify`. `systemd` обычно является наиболее эффективным и надежным способом.
После внесения изменений сохраните файл и перезапустите Fail2ban: 

sudo systemctl restart fail2ban
Теперь Fail2ban будет мониторить файл журнала SSH и блокировать IP-адреса, с которых исходят неудачные попытки входа.

Важно: Если вы используете нестандартный порт SSH, необходимо указать его в настройках тюрьмы sshd. В противном случае, Fail2ban не будет мониторить правильный порт и не сможет защитить ваш сервер от атак.

Пример 1: Настройка Fail2ban для защиты SSH на нестандартном порту. 

[sshd]
enabled = true
port = 2222
logpath = %(sshd_log)s
backend = systemd
В этом примере Fail2ban будет защищать SSH на порту 2222.

Пример 2: Включение защиты от brute-force атак на SSH с использованием фильтров. 

[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = systemd
filter = sshd
В этом примере добавляется строка `filter = sshd`. `filter` определяет, какой фильтр будет использоваться для анализа файла журнала. Фильтры – это файлы, содержащие регулярные выражения, которые Fail2ban использует для поиска подозрительных действий в логах. В данном случае, используется фильтр `sshd`, который уже определен в Fail2ban и содержит правила для обнаружения brute-force атак на SSH. Использование фильтров позволяет более точно определять, какие попытки входа являются подозрительными, и избегать блокировки легитимных пользователей.

Пример 3: Увеличение времени блокировки для SSH. 

[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = systemd
bantime = 86400 ; Блокировка на 24 часа
В этом примере время блокировки для SSH увеличено до 24 часов (86400 секунд). Это может быть полезно для защиты от настойчивых атак.

Тестирование и проверка работы Fail2ban

После установки и настройки Fail2ban необходимо проверить его работоспособность, чтобы убедиться, что он эффективно защищает ваш сервер. Существует несколько способов это сделать:

  • Проверка статуса тюрьмы: Вы можете проверить статус конкретной тюрьмы с помощью команды `fail2ban-client`.
  • Анализ журнала Fail2ban: Просмотр журнала Fail2ban позволяет увидеть, какие IP-адреса были заблокированы и почему.
  • Эмуляция атаки: Вы можете эмулировать неудачные попытки входа, чтобы проверить, что Fail2ban правильно блокирует IP-адрес.
Чтобы проверить статус тюрьмы `sshd`, выполните следующую команду: 

sudo fail2ban-client status sshd
Эта команда выведет информацию о тюрьме `sshd`, включая:

  • Статус (включена или выключена)
  • Количество заблокированных IP-адресов
  • Список заблокированных IP-адресов
Если тюрьма работает правильно и блокирует IP-адреса, вы увидите список заблокированных IP-адресов. Если список пуст, это означает, что ни один IP-адрес не был заблокирован. Это может быть потому, что никто не пытался получить доступ к вашему серверу несанкционированным способом, или потому, что Fail2ban не настроен правильно.

Чтобы просмотреть журнал Fail2ban, выполните следующую команду: 

sudo tail -f /var/log/fail2ban.log
В журнале вы увидите записи о всех событиях, связанных с Fail2ban, включая запуск и остановку сервиса, активацию и деактивацию тюрем, а также блокировку и разблокировку IP-адресов. Анализ журнала позволяет понять, как работает Fail2ban и выявить возможные проблемы.

Чтобы эмулировать атаку и проверить, что Fail2ban правильно блокирует IP-адрес, вы можете попытаться несколько раз подключиться к вашему серверу по SSH с неправильным паролем. После нескольких неудачных попыток ваш IP-адрес должен быть заблокирован. Вы можете проверить это с помощью команды `fail2ban-client status sshd` или просмотрев журнал Fail2ban.

Важно: Будьте осторожны при эмуляции атаки, чтобы не заблокировать себя на длительное время. Вы можете уменьшить время блокировки для тестирования, а затем вернуть его к нормальному значению.

Пример 1: Разблокировка IP-адреса вручную. 

sudo fail2ban-client set sshd unbanip 192.168.1.100
Эта команда разблокирует IP-адрес 192.168.1.100 в тюрьме `sshd`. Это может быть полезно, если вы случайно заблокировали свой собственный IP-адрес.

Пример 2: Проверка правил iptables, созданных Fail2ban. 

sudo iptables -L FAIL2BAN-SSHD
Эта команда показывает правила iptables, созданные Fail2ban для тюрьмы `sshd`. Iptables — это брандмауэр Linux, который Fail2ban использует для блокировки IP-адресов. Вывод команды покажет список правил, которые блокируют входящий трафик с заблокированных IP-адресов. Это позволяет убедиться, что Fail2ban правильно настраивает брандмауэр для блокировки подозрительного трафика.

Пример 3: Перезагрузка Fail2ban без перезапуска всей системы. 

sudo fail2ban-client reload
Эта команда перезагружает конфигурацию Fail2ban, не перезапуская весь сервис. Это быстрее, чем перезапуск, и позволяет применить изменения конфигурации без прерывания работы Fail2ban.

Автоматическое разблокирование IP-адресов

В некоторых случаях может потребоваться автоматическое разблокирование IP-адресов после определенного периода времени. Fail2ban по умолчанию блокирует IP-адреса на указанное время (`bantime`), но иногда необходимо, чтобы IP-адрес был разблокирован автоматически раньше, например, если блокировка произошла по ошибке или если динамический IP-адрес изменился.

Для реализации автоматического разблокирования можно использовать несколько подходов:

  • Установка короткого времени блокировки: Самый простой способ — установить небольшое значение для параметра `bantime`. Однако это может сделать ваш сервер более уязвимым для атак, поскольку злоумышленник сможет повторить попытки входа через короткий промежуток времени.
  • Использование скриптов для автоматической разблокировки: Более сложный, но и более гибкий подход — использование скриптов, которые автоматически разблокируют IP-адреса после определенного периода времени.
Рассмотрим пример использования скрипта для автоматической разблокировки. Создайте скрипт, например, `/usr/local/bin/fail2ban-auto-unban.sh`, со следующим содержимым: 

#!/bin/bash

# Время в секундах, через которое нужно разблокировать IP-адреса
UNBAN_TIME=3600

# Тюрьмы, для которых нужно выполнять автоматическую разблокировку
JAILS="sshd"

for JAIL in $JAILS; do
  fail2ban-client status $JAIL | grep "Banned IP list:" | awk '{print $4}' | tr -d '[]' | tr ',' '\n' | while read IP; do
    BAN_TIME=$(fail2ban-client get $JAIL banip $IP | grep "Ban since" | awk '{print $3 " " $4 " " $5 " " $6 " " $7}')
    BAN_TIMESTAMP=$(date -d "$BAN_TIME" +%s)
    CURRENT_TIMESTAMP=$(date +%s)
    ELAPSED_TIME=$((CURRENT_TIMESTAMP - BAN_TIMESTAMP))

    if [ "$ELAPSED_TIME" -gt "$UNBAN_TIME" ]; then
      fail2ban-client set $JAIL unbanip $IP
      echo "$(date) - Разблокирован IP $IP в тюрьме $JAIL" >> /var/log/fail2ban-auto-unban.log
    fi
  done
done
Этот скрипт выполняет следующие действия:

  • Определяет время в секундах, через которое нужно разблокировать IP-адреса (`UNBAN_TIME`).
  • Определяет список тюрем, для которых нужно выполнять автоматическую разблокировку (`JAILS`).
  • Проходит по списку заблокированных IP-адресов для каждой тюрьмы.
  • Определяет время блокировки IP-адреса.
  • Если время блокировки превышает заданное значение (`UNBAN_TIME`), разблокирует IP-адрес.
  • Записывает информацию о разблокировке в лог-файл.
Сделайте скрипт исполняемым: 

sudo chmod +x /usr/local/bin/fail2ban-auto-unban.sh
Затем настройте cron для автоматического запуска скрипта, например, каждый час: 

sudo crontab -e
Добавьте следующую строку в файл cron: 

0 * * * * /usr/local/bin/fail2ban-auto-unban.sh
Эта строка указывает, что скрипт должен запускаться в начале каждого часа.

Важно: Этот скрипт является примером и может потребоваться его адаптировать под ваши конкретные потребности. Например, вам может потребоваться изменить список тюрем, формат лог-файла или добавить дополнительные проверки.

Пример 1: Настройка автоматической разблокировки через cron с использованием короткого `bantime`. 

[DEFAULT]
bantime = 300 ; Блокировка на 5 минут

; Запуск скрипта раз в минуту для разблокировки


  • * * * * /usr/local/bin/fail2ban-auto-unban.sh
Этот пример показывает, как установить короткое время блокировки (5 минут) и настроить cron для запуска скрипта раз в минуту. Скрипт будет проверять заблокированные IP-адреса и разблокировать их, если они заблокированы более 5 минут. Этот подход прост в реализации, но может быть менее безопасным, чем использование более длинного времени блокировки и более сложного скрипта.

Пример 2: Разблокировка IP-адресов только для определенных тюрем. 

JAILS="sshd apache"
В скрипте `fail2ban-auto-unban.sh` измените переменную `JAILS`, чтобы указать только те тюрьмы, для которых нужно выполнять автоматическую разблокировку. В этом примере автоматическая разблокировка будет выполняться только для тюрем `sshd` и `apache`.

Пример 3: Логирование действий скрипта в отдельный файл. 

echo "$(date) - Разблокирован IP $IP в тюрьме $JAIL" >> /var/log/fail2ban-auto-unban.log
Эта строка в скрипте `fail2ban-auto-unban.sh` записывает информацию о разблокировке IP-адреса в файл `/var/log/fail2ban-auto-unban.log`. Это позволяет отслеживать, какие IP-адреса были разблокированы и когда. Регулярно просматривайте этот лог-файл, чтобы выявлять возможные проблемы.