Hoe Fail2Ban installeren en configureren op Linux

Fail2Ban controleert uw serverlogs op verdachte activiteiten en verbiedt automatisch beledigende IP's door uw firewallregels bij te werken. Het stopt brute-force aanvallen, vermindert logruis en draait stil op de achtergrond zodra het is geconfigureerd. Deze gids behandelt de installatie op Ubuntu/Debian, kernconfiguratie, jail setup en een paar geavanceerde opties die het waard zijn om te weten.

Vereisten

Fail2Ban draait op de meeste Linux distributies: Ubuntu, Debian, AlmaLinux, CentOS, RHEL, Rocky Linux en Fedora. Je hebt nodig:

• Python 3 geïnstalleerd op het systeem
• Root- of sudo-toegang voor pakketinstallatie en firewallwijzigingen
• Een actieve firewall (iptables, nftables, ufw of firewalld)
• Logbestanden die mislukte aanmeldpogingen vastleggen(/var/log/auth.log op Debian-gebaseerde systemen, /var/log/secure op RHEL-gebaseerde)

Schakel op RHEL-gebaseerde systemen eerst de EPEL-repository in. Controleer voordat u Fail2Ban installeert of uw firewall actief is met ufw status of systemctl status firewalld.

Fail2Ban installeren op Ubuntu/Debian

Update uw pakketten en installeer Fail2Ban:

sudo apt update && sudo apt upgrade -y
sudo apt install fail2ban

Schakel de service in zodat deze start bij het opstarten en start hem vervolgens:

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Kopieer de standaardconfiguratie naar een lokaal overschrijvingsbestand. Bewerk altijd jail.local, niet jail.conf, zodat pakketupdates uw instellingen niet overschrijven:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Controleer of alles draait:

sudo systemctl status fail2ban
sudo fail2ban-client status

Het eerste commando zou "Active: active (running)" moeten tonen. Het tweede somt uw actieve jails op. Bevestig dat Fail2Ban is ingeschakeld bij het opstarten met sudo systemctl is-enabled fail2ban.

Jails configureren

Standaardinstellingen

Open /etc/fail2ban/jail.local en pas de [DEFAULT] sectie aan. Deze instellingen zijn van toepassing op alle jails tenzij ze overschreven worden:

Voeg je eigen management IP toe aan ignoreip zodat je jezelf niet blokkeert. Voorbeeld: ignoreip = 127.0.0.1/8 ::1 203.0.113.50.

SSH Beveiliging

Schakel de SSH jail in jail.local in:

[sshd]
enabled = true

Controleer of logpath naar het juiste logbestand voor je distro wijst. Als je SSH naar een niet-standaard poort hebt verplaatst (bijv. 2222), pas de poortparameter dan aan.

Web Server Bescherming

Schakel de jail in die overeenkomt met uw webserver:

• Nginx: [nginx-http-auth] voor authenticatiefouten, [nginx-botsearch] voor kwaadaardige bots
• Apache: [apache-auth] voor authenticatie, [apache-badbots] voor bots

Recidive gevangenis

De [recidive] jail vangt IP's op die steeds gebanned worden door andere jails en past een langere straf toe, meestal een week (604.800 seconden). Het is handig voor hardnekkige aanvallers die hun aanpak roteren.

Herlaad na het aanbrengen van wijzigingen:

sudo systemctl restart fail2ban
sudo fail2ban-client status

Testen en bewaking

Verboden testen

Voordat je Fail2Ban in productie neemt, moet je het testen. Probeer vanaf een externe machine (niet uw beheerders-IP) in te loggen met SSH totdat u de maxretry overschrijdt. Je zou geblokkeerd moeten zijn. Bevestig met:

sudo fail2ban-client status sshd

Kijk hoe bans in realtime gebeuren:

tail -f /var/log/fail2ban.log

Als je per ongeluk een legitiem IP-adres blokkeert, kun je het blokkeren opheffen:

sudo fail2ban-client set sshd unbanip 203.0.113.50

Monitoring van dag tot dag

Bekijk de verbanningsgeschiedenis door het logboek te doorzoeken:

grep "Ban\|Unban" /var/log/fail2ban.log

Nuttige beheercommando's:

Verboden blijven bestaan na een herstart. Fail2Ban slaat ze op in een SQLite database in /var/lib/fail2ban/fail2ban.sqlite3.

Geavanceerde configuratie

Overschakelen naar nftables

nftables is de moderne vervanger voor iptables. Het behandelt IPv4 en IPv6 in een enkel kader, schaalt beter met grote verbodslijsten en heeft ingebouwde snelheidsbeperking. Als je op Ubuntu 22.04+, Debian 11+ of een andere recente distro zit, is het de betere keuze.

Stel het in in jail.local:

[DEFAULT]
banaction = nftables-multiport

Start Fail2Ban opnieuw op en controleer dan met sudo nft list ruleset. Je zou f2b-table en f2b-chain in de uitvoer moeten zien. Blijf bij iptables als je op een ouder systeem zit of compatibiliteitseisen hebt.

Email meldingen

Standaard verbiedt Fail2Ban in stilte. Om e-mailwaarschuwingen te krijgen, voeg het volgende toe aan de [DEFAULT] sectie van jail.local:

[DEFAULT]
destemail = [email protected]
sender = [email protected]
mta = sendmail
action = %(action_mwl)s

De action_mwl actie stuurt een e-mail met ban details, WHOIS gegevens en de logregels die de ban hebben getriggerd. Gebruik action_mw als je alleen WHOIS-gegevens wilt. Je hebt een mail transfer agent zoals sendmail nodig, of een SMTP relay geconfigureerd door iets als msmtp.

Voor Slack of Discord waarschuwingen, maak een script dat een webhook verstuurt en verbind het met een aangepast actiebestand in /etc/fail2ban/action.d/.

Als u op zoek bent naar een server met volledige root-toegang en onbeperkte bandbreedte om Fail2Ban te draaien, bekijk dan de dedicated servers van FDC.