La wiki de TempWin

Herramientas de usuario

Herramientas del sitio

Traza: sticky_keys_hack desarrollo_backend_utilizando_patron_mvc juegos
informatica:sistemas_operativos:linux:administracion:fail2ban

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
informatica:sistemas_operativos:linux:administracion:fail2ban [2021/06/24 12:39] tempwininformatica:sistemas_operativos:linux:administracion:fail2ban [2026/01/16 17:00] (actual) – [SSH] tempwin
Línea 3: Línea 3:
 Fail2ban escanea ficheros de log (por ejemplo ''/var/log/apache/error_log'') y bloquea IPs que muestran comportamientos sospechosos (muchos fallos de contraseña, etc). Fail2ban escanea ficheros de log (por ejemplo ''/var/log/apache/error_log'') y bloquea IPs que muestran comportamientos sospechosos (muchos fallos de contraseña, etc).
  
-  * [[http://www.fail2ban.org/wiki/index.php/Main_Page|Web oficial]]+  * [[https://github.com/fail2ban/fail2ban|Repositorio oficial]]
  
-Generalmente Fail2Ban se utiliza para actualizar las reglas del firewall para rechazar las direcciones IP por un determinado tiempo.Por defecto, Fail2Ban viene con filtros para varios servicios.+Generalmente Fail2Ban se utiliza para actualizar las reglas del firewall para rechazar las direcciones IP por un determinado tiempo. Por defecto, Fail2Ban viene con filtros para varios servicios. Por ejemplo, para ver un resumen de intentos fallidos e IPs bloqueadas por accesos SSH:
  
 <code> <code>
Línea 23: Línea 23:
    |- Total banned: 11730    |- Total banned: 11730
    `- Banned IP list: 81.68.216.38 49.232.172.163 42.192.75.240 112.16.211.200 42.192.84.251 162.243.99.164    `- Banned IP list: 81.68.216.38 49.232.172.163 42.192.75.240 112.16.211.200 42.192.84.251 162.243.99.164
 +</code>
 +
 +Si queremos quitar de la lista de bloqueos cierta IP:
 +
 +<code>
 +fail2ban-client set sshd unbanip 123.123.123.123
 +</code>
 +
 +===== SSH =====
 +
 +Crear configuración local (NO edites ''jail.conf'')
 +
 +<code>
 +cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
 +</code>
 +
 +Editamos ''/etc/fail2ban/jail.local'':
 +
 +<code ini>
 +[sshd]
 +enabled = true
 +port = 22222
 +filter = sshd
 +logpath = /var/log/auth.log
 +backend = systemd
 +maxretry = 3
 +findtime = 10m
 +bantime = 24h
 +</code>
 +
 +Qué hace:
 +
 +  * 3 fallos en 10 minutos → ban
 +  * Bloqueo durante 24 horas
 +  * Funciona con journalctl y auth.log
 +
 +Reiniciar fail2ban:
 +
 +<code bash>
 +systemctl restart fail2ban
 +</code>
 +
 +Ver si ya está bloqueando IPs:
 +
 +<code>
 +fail2ban-client status
 +fail2ban-client status sshd
 +</code>
 +
 +Salida típica:
 +
 +<code>
 +Currently banned: 2
 +Banned IP list: 45.135.232.92 4.211.84.189
 </code> </code>
informatica/sistemas_operativos/linux/administracion/fail2ban.1624531155.txt.gz · Última modificación: por tempwin