Introducción
Cualquier servidor accesible desde Internet corre un gran riesgo de ataques de fuerza bruta y malware. Los piratas informáticos intentan utilizar la fuerza bruta para obtener acceso a aplicaciones accesibles en redes públicas.
Fail2ban es una herramienta que se utiliza para proteger las máquinas basadas en Linux de ataques automatizados mejorando su seguridad. Supervisa los registros para detectar cualquier actividad maliciosa y permite al usuario bloquear de forma temporal o permanente las direcciones IP remotas.
Esta guía explica cómo instalar, configurar y configurar Fail2ban en un sistema basado en Debian 11.
Cómo instalar Fail2ban en Debian 11
Fail2ban está disponible en el repositorio predeterminado de Debian 11, por lo que se puede instalar fácilmente utilizando el administrador de paquetes predeterminado de Debian:
sudo apt install fail2ban -y Una vez completada la instalación, el servicio Fail2ban debería iniciarse automáticamente. Puede verificar esto ejecutando el comando:
sudo systemctl status fail2ban Si el servicio no se está ejecutando en su sistema, puede usar los siguientes comandos para iniciarlo y habilitarlo:
sudo systemctl start fail2ban sudo systemctl enable fail2ban Cómo configurar Fail2ban en Debian 11
Fail2ban viene con dos archivos de configuración diferentes ubicados en el directorio /etc/fail2ban. Estos archivos de configuración tienen una configuración básica que no debe cambiarse, ya que estos archivos pueden sobrescribirse cuando llega una actualización de paquete.
Podemos utilizar un archivo .localseparado como archivo de configuración para evitar problemas futuros. Luego crearemos un archivo de configuración local copiando el archivo jail.conf:
sudo cp /etc/fail2ban/jail.{conf,local} Ahora, abra el archivo recién creado en un editor de texto:
sudo nano /etc/fail2ban/jail.local Aquí puede actualizar la configuración según sus necesidades. Puede agregar una directiva ignoreip para ignorar / incluir en la lista blanca las direcciones IP de la prohibición. Aquí he enumerado dos direcciones IP diferentes como ejemplos. Puede ingresar cualquier dirección IP que desee incluir en la lista blanca:
ignoreip = 127.0.0.15/8 192.168.1.2/24La directiva bantime se puede utilizar para establecer un período de tiempo durante el cual una dirección IP permanecerá prohibida. Podemos usar un sufijo como m, d para especificar la unidad de tiempo que por defecto es en segundos.
bantime = 120mLa directiva findtime especifica la duración del número de errores antes de que se coloque una prohibición. Si Fail2ban va a prohibir una IP después de 4 intentos fallidos, la directiva findtime define el intervalo de tiempo en el que deben ocurrir los errores.
findtime = 2mEl maxretry se utiliza para definir el número de intentos fallidos antes de que una IP se incluya en la lista negra.
maxretry = 5Una vez que haya realizado todos los cambios necesarios, simplemente puede guardar y guardar el archivo de configuración.
Ahora reinicie el servicio para que los cambios surtan efecto:
sudo systemctl restart fail2ban.service Conclusión
Fail2ban nos permite configurar nuestro sistema para que sea más seguro contra ataques brutos y otras actividades maliciosas. Proteja nuestro sistema comprobando los registros y poniendo en una lista negra las direcciones IP sospechosas. Estas medidas de seguridad son esenciales, especialmente para sistemas accesibles en redes públicas. En este artículo aprendimos cómo instalar, configurar y configurar Fail2ban en Debian 11.
