După ce am pus serverul meu online și am început să mă uit prin loguri, am rămas puțin surprins. În mod constant apăreau încercări de conectare prin SSH, cu utilizatori precum root, admin sau guest. Nu era nimic personal, sunt doar boți care scanează internetul și încearcă parole la întâmplare, dar tot mi s-a părut o idee bună să mai adaug un strat de protecție.
Așa am ajuns la Fail2ban.
Fail2ban este un program care citește logurile sistemului și, dacă vede prea multe încercări eșuate de autentificare de la același IP, blochează automat acel IP pentru o perioadă de timp.
Instalarea a fost destul de simplă.
Mai întâi am instalat programul:
sudo apt install fail2ban -yDupă instalare am verificat dacă serviciul rulează:
sudo systemctl status fail2banApoi am creat un fișier de configurare local:
sudo nano /etc/fail2ban/jail.localÎn el am adăugat configurația pentru SSH:
[sshd]
enabled = true
port = ssh
logpath = /var/log/auth.log
maxretry = 5
bantime = 1h
findtime = 10mPe scurt, asta înseamnă că dacă cineva greșește parola de 5 ori în 10 minute, IP-ul este blocat automat pentru o oră.
După ce am salvat fișierul, am repornit serviciul:
sudo systemctl restart fail2banCa să verific dacă funcționează:
sudo fail2ban-client statusȘi pentru detalii despre SSH:
sudo fail2ban-client status sshdDupă câteva minute am început să văd IP-uri banate automat, ceea ce a fost chiar interesant de urmărit în loguri. Practic, serverul începe să se apere singur de tentativele repetitive.
Pentru un server mic, expus pe internet, Fail2ban mi se pare una dintre cele mai simple și eficiente măsuri de securitate. Nu rezolvă tot, dar reduce mult zgomotul din loguri și oprește rapid încercările repetate.
Încet, încet, încep să înțeleg mai bine cum funcționează lucrurile în spate și cum se leagă toate piesele: SSH, firewall, loguri și serviciile sistemului.
