Fail2ban en Linux: una herramienta de utilidad y seguridad de Internet para administradores de servidores

Fail2ban es una herramienta de utilidad de seguridad de Internet para administradores de web y . Puede usar la herramienta Fail2ban para controlar, monitorear y agregar reglas en su servidor Linux. Suponga que tiene un sitio web en cualquier . En ese caso, es posible que sepa que si ingresa el nombre de usuario o la contraseña incorrectos, el sistema evita automáticamente que inicie sesión en su WHM o c-Panel y en el tablero. Si tiene un servidor que se ejecuta en un sistema Linux, puede mantener el sistema de monitoreo de inicio de sesión de su servidor utilizando la herramienta Fail2ban. Debo decir que, si usted es un administrador de servidor Linux, instalar Fail2ban es un excelente intento de hacer que su servidor sea seguro y estable.

Características importantes de Fail2ban

Fail2ban está escrito en Python y puede evitar que su servidor Linux sufra ataques de fuerza bruta.
Después de recibir un ataque, puede verificar la fuerza de ese ataque en el archivo de registro de Fail2ban. Puede preguntar, ¿puede Fail2ban prevenir los ataques DDOS en su servidor? La respuesta es, Fail2ban no está diseñado para evitar los ataques DDOS; está hecho para evitar intentos de inicio de sesión desconocidos o sospechosos.

Pero, definitivamente, Fail2ban puede reducir la cantidad de ataques DDOS en su servidor Linux. Una vez que instale la herramienta Fail2ban en su servidor Linux y configure los parámetros, puede proteger automáticamente su servidor de los ataques de inicio de sesión.

Fail2ban utiliza el script Jail para hacer que el . Jail es el archivo de secuencia de comandos de configuración, donde se establecen todos los parámetros predeterminados de bloqueo y mantenimiento de IP. Comprender el script Jail es esencial para garantizar la seguridad de su servidor Linux.

Para ver los archivos de configuración de Fail2ban, ejecute el siguiente comando list en su terminal. Encontrará un archivo fail2ban.confy un jail.darchivo dentro de la lista. Trabajaremos en el jail.darchivo para reconfigurar los ajustes de Fail2ban.

ls -al /etc/fail2ban/

cárcel conf

Enumero las características principales y básicas de la herramienta Fail2ban en el sistema Linux.

  • Soporta Python Scrapy
  • Bloquear IP para un rango específico
  • Bloque sabio de zona horaria global
  • Configuración de parámetros personalizados
  • Fácil de configurar con Apache, Nginx, SSHD y otros servidores
  • Reciba una alerta por correo electrónico
  • Instalaciones de prohibición y no prohibición
  • Establecer hora de prohibición

Fail2ban en varias distribuciones de Linux

Los entusiastas de Linux deben saber que Linux alimenta la mayoría de los servidores web. Si bien los servidores funcionan con Linux, es obligatorio mantener un punto de referencia de seguridad muy estricto para bloquear los intentos de inicio de sesión no autorizados. En esta publicación, veremos cómo instalar y configurar el paquete Fail2ban en varias distribuciones de Linux. Posteriormente, también veremos cómo modificar y observar la herramienta Fail2ban.

Paso 1: Instale el paquete Fail2ban en Linux

La instalación de Fail2ban en Linux es un proceso sencillo. Necesita actualizar el repositorio de su sistema e instalar el paquete directamente con algunas líneas de comandos de terminal. Revisaré los métodos de instalación de Fail2ban en Debian, Fedora Linux, Red Hat Linux, OpenSuSE y Arch Linux.

1. Instale Fail2ban en distribuciones Ubuntu y Debian

En las distribuciones de Debian, la actualización del repositorio del sistema es el proceso para hacer que su sistema Linux sea más fluido y eficiente. Como instalaremos un nuevo paquete en nuestro sistema, primero debemos actualizar el repositorio del sistema. Puede utilizar las siguientes líneas de comando para actualizar el repositorio de su sistema.

sudo apt update
sudo apt upgrade -y

Ahora, copie y pegue el siguiente comando de administración de paquetes de aptitude para instalar la herramienta Fail2ban dentro de su sistema Debian. Puede usar este comando para Ubuntu, Kubuntu, Linux Mint y otras distribuciones de Debian.

sudo apt install fail2ban

instalar fail2ban en ubuntu

2. Instale Fail2ban en Manjaro

Aquí, hemos elegido Manjaro Linux para mostrar cómo puede instalar el paquete Fail2ban en Arch y distribuciones de Linux basadas en Arch. Manjaro es compatible y mantenido por el proyecto Arch Linux. Puede usar la siguiente packmanlínea de comandos para instalar Fail2ban en su Arch Linux.

sudo pacman -S fail2ban

Si tiene algún error al instalar el paquete, puede ejecutar el siguiente -Rscomando en su terminal Arch Linux para evitar el error.

sudo pacman -Rs fail2ban

3. Instale Fail2ban en OpenSuSE y SuSE Linux

En SuSE y OpenSuSE Linux, instalar Fail2ban es mucho más fácil que otras distribuciones. Primero, necesita descargar el .ymparchivo de paquete de Fail2ban. Puede descargar el paquete Fail2ban para SuSE Linux desde aquí . Una vez finalizada la descarga, abra el archivo del paquete a través de la tienda de software predeterminada de SuSE Linux. Luego haga clic en el botón de instalación para completar el proceso de instalación.

descargar Fail2ban suse linux

4. Instale Fail2ban en Fedora

Aquí, le mostraré cómo instalar el paquete Fail2ban en Fedora Linux. Estoy usando el comando DNF para instalar el paquete en Fedora. Primero, instale los paquetes adicionales para la versión Enterprise Linux (EPEL) en su sistema.

sudo dnf install epel-release

Ahora, ejecute el siguiente comando en su terminal de Fedora Linux para obtener el paquete Fail2ban.

sudo systemctl start sshd
sudo dnf install fail2ban

fail2ban en fedora

5. Instale Fail2ban en CentOS y Red Linux

Muy raramente, la gente usa Red Hat y CentOS para mantener un servidor. Sin embargo, si tiene un servidor instalado en su Red Hat Linux, puede instalar el paquete Fail2ban en su sistema Linux ejecutando los siguientes yumcomandos en su máquina Linux.

Primero, instale la versión Extra Packages for Enterprise Linux (EPEL) en su sistema. Luego instale el paquete Fail2ban.

sudo yum install epel-release
sudo yum install fail2ban

Paso 2: Configuración del firewall en Linux

Como Fail2ban utiliza un protocolo de red para mantener el servidor Linux, debe asegurarse de que su esté habilitado y configurado para acceder al paquete Fail2ban. De forma predeterminada, Fail2ban usa el puerto 22 para establecer la conexión. Es por eso que necesita permitir el puerto 22 para Fail2ban. Aquí, veremos cómo puede establecer la configuración del Firewall para Debina y otras distribuciones de Linux.

1. Configuración de firewall para Ubuntu y Debian

Los usuarios de Debian y Ubuntu pueden habilitar la . Siga las líneas de comando de la terminal para configurar el firewall UFW en sus distribuciones Debian. Si el cortafuegos no está habilitado en su sistema Debian, habilítelo primero.

sudo ufw allow 22
sudo ufw enable

Ahora puede verificar el estado del firewall en su sistema Linux. Verá que el puerto 22 está agregado y permitido en la configuración del firewall.

sudo ufw status

puerto ufw 22

2. Configuración de firewall para Red Hat, CentOS y Fedora Linux

Red Hat, Fedora, Centos, Arch Linux, SuSE y otras distribuciones de Linux utilizan la herramienta Firewalld para configurar los ajustes del firewall. Como sabemos que UFW es una interfaz de firewall basada en línea de comandos dedicada para distribuciones de Debian, de la misma manera, Firewalld es la principal herramienta de administración de la interfaz de programación de aplicaciones (API) donde puede agregar reglas de firewall.

Puede utilizar los siguientes comandos de control del sistema para iniciar, habilitar, detener y volver a cargar Firewalld en su máquina Linux.

systemctl status firewalld
systemctl enable firewalld
sudo firewall-cmd --reload
systemctl stop firewalld

Como ya sabemos, tenemos que permitir el puerto 22 en la configuración del firewall. Utilice los siguientes comandos para agregar la regla. También puede utilizar el sistema de configuración basado en zonas en la herramienta Firewalld .

firewall-cmd --add-port=22/tcp
firewall-cmd --list-all

Ahora, reinicie la herramienta Fail2ban en su sistema Linux.

systemctl restart fail2ban

Firewalld

Paso 3: configurar Fail2ban en Linux

Hasta ahora, hemos instalado Fail2ban y hemos configurado los ajustes del cortafuegos. Ahora, veremos cómo configurar los ajustes de Fail2ban. Los ajustes y configuraciones generales son los mismos para todas las distribuciones de Linux. Puede seguir este paso para todas las distribuciones.

Primero, debe configurar la configuración de la cárcel en Fail2ban. Puede mantener la configuración predeterminada si no necesita realizar ningún cambio. Puede encontrar el script de configuración en el /etc/fail2ban/directorio. Utilice las siguientes líneas de comandos de terminal para editar y configurar los ajustes de la cárcel.

cd /etc/fail2ban/
sudo cp jail.conf jail.local
sudo nano /etc/fail2ban/jail.conf

Ahora, puede copiar y pegar las siguientes reglas dentro de su secuencia de comandos de configuración de Jail. Aquí, estamos configurando los parámetros bantime, ignoreIP, findtime y maxretry.

[DEFAULT]
ignoreip= 127.0.0.1
bantime= 3600
findtime= 600
maxretry= 3


[sshd]
enabled= true

ignoreip= 127.0.0.1 ::1 192.168.100.11

Estoy dando una descripción concisa de los parámetros del script Fail2ban.

  • bantime : Bantime es la duración de tiempo que desea aplicar para prohibir cualquier dirección IP sospechosa.
  • ignoreip : la herramienta Fail2ban hace referencia a ignoreip como la dirección IP que no desea prohibir ni monitorear. Por lo general, su IP de host actual, dirección IP personal y direcciones de host local se agregan dentro de la lista de ignorados.
  • maxretry : Maxretry es un tipo de archivo de registro que almacena los intentos fallidos de inicio de sesión en su servidor Linux. Puede controlar cuántos intentos desea permitir que cualquier usuario inicie sesión.
  • findtime : Findtime es la duración del tiempo pasado que puede agregar a la configuración para buscar y verificar las direcciones IP sospechosas.

También puede desbloquear cualquier dirección IP de la configuración de Fail2ban en Linux. Primero, debe abrir el script de configuración SSHD de Jail. Luego, puede desbloquear la dirección IP deseada.

/etc/fail2ban/jail.d/sshd.local

Utilice las siguientes líneas de comando para desbloquear cualquier dirección IP.

/etc/fail2ban/jail.local
sudo fail2ban-client set sshd unbanip 83.136.253.43

Paso 4: Supervisar el estado de Fail2ban

Una vez que se hayan realizado los pasos de instalación y configuración, ahora puede monitorear las funciones de trabajo de Fail2ban desde su sistema Linux. Aquí, describiré algunas líneas de comando básicas que puede ejecutar en su terminal Linux para ver y monitorear la herramienta Fail2ban.

Puede utilizar la siguiente línea de comando para ver la información de depuración, la información de seguimiento, el ping y otra información relacionada con la herramienta Fail2ban.

fail2ban-client -vvv -x start

Utilice las siguientes líneas de comandos de terminal para ver el archivo de registro y los archivos de autorización del Fail2ban desde su sistema Linux.

nano /var/log/fail2ban.log
nano /var/log/auth.log

Utilice las siguientes líneas de comando para monitorear el estado del cliente y el estado SSHD del Fail2ban.

sudo fail2ban-client status
sudo fail2ban-client status sshd

Sshd de estado del cliente fail2ban de Linux

Para ver el registro de IP prohibido, ejecute la siguiente línea de comandos de terminal en su shell de Linux.

sudo zgrep 'Ban:' /var/log/fail2ban.log*

Para ver el archivo de registro de errores, ejecute la siguiente línea de comandos de terminal en su terminal de Linux.

/var/log/httpd/error_log

Puede verificar el estado del Fail2ban a través de las líneas de comando de control del sistema. Utilice las líneas de comando de la terminal que se indican a continuación para verificar el estado de Fail2ban en el sistema Linux.

systemctl status fail2ban
systemctl status fail2ban.services

fail2ban linux estado activo

Puede ejecutar los servicios Fail2ban en el inicio de su sistema. Para agregar el paquete Fail2ban en su lista de aplicaciones de inicio, use la siguiente línea de comando de control del sistema en su terminal Linux.

systemctl enable fail2ban.services

Por último, puede utilizar las siguientes líneas de comandos de terminal que se indican a continuación para iniciar, reiniciar y habilitar los servicios Fail2ban en su sistema Linux.

systemctl enable fail2ban
systemctl start fail2ban
systemctl restart fail2ban

Consejo adicional: recibe una alerta por correo electrónico

Este paso mostrará cómo puede recibir una alerta por correo electrónico cuando alguien intente iniciar sesión en su servidor Linux desde un dispositivo no autorizado, utilizando el nombre de usuario o contraseña incorrectos y una red maliciosa. Para establecer la configuración de las alertas de correo electrónico, debe editar el jail.localarchivo desde el directorio Fail2ban.

Primero, puede hacer una copia de la secuencia de comandos de configuración de la cárcel para poder reemplazar la configuración predeterminada si hace algo mal. Ejecute la siguiente línea de comandos para hacer una copia del script Jail.

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Puede utilizar la siguiente línea de comandos que se proporciona a continuación para editar el jail.localscript de configuración.

sudo nano /etc/fail2ban/jail.local

Ahora, copie y pegue los comandos de secuencia de comandos que se indican a continuación dentro de su jail.localsecuencia de comandos. Luego reemplace el correo electrónico de destino (destemail) y la dirección de correo electrónico del remitente en el script. Luego, puede guardar y salir del script de configuración.

[DEFAULT]
destemail= [email protected]
sender= [email protected]

# to ban & send an e-mail with whois report to the destemail.
action= %(action_mw)s

# same as action_mw but also send relevant log lines
#action= %(action_mwl)s

Ahora reinicie la herramienta Fail2ban en su sistema Linux.

sudo systemctl restart fail2ban

Quitar Fail2ban de Linux

La eliminación de Fail2ban en la distribución de Linux requiere el método estándar para desinstalar paquetes de Linux. Ahora, voy a mostrar cómo puede eliminar la herramienta Fail2ban de su sistema Linux. Utilice las siguientes líneas de comando para eliminar el paquete del sistema Debian / Ubuntu Linux.

sudo apt-get remove fail2ban

Utilice las siguientes líneas de comando para eliminar Fail2ban de Fedora, CentOS, Red Hat Linux y otras distribuciones de Linux.

sudo yum remove fail2ban
sudo yum purge fail2ban
sudo yum remove --auto-remove fail2ban

Palabras finales

Sin duda, Fail2ban es una herramienta esencial para los administradores de servidores y sistemas Linux. Si bien el uso de UFW, y otras ayuda a los administradores de servidores, Fail2ban es un paquete completo que puede evitar inicios de sesión anónimos de usuarios dañinos o anónimos.

En toda la publicación, he descrito los métodos de instalación, configuración y monitoreo de la herramienta Fail2ban en varias distribuciones de Linux. Comparta esta publicación con sus amigos y administradores del servidor Linux si la encuentra útil e informativa. Puede escribir sus opiniones sobre esta publicación en la sección de comentarios.

Leave a Comment

Your email address will not be published. Required fields are marked *