Fail2Ban چیست ؟ آموزش نصب و پیکربندی

Fail2Ban یک ابزار امنیتی برای جلوگیری از حملات نفوذی به سیستم شما است. با استفاده از Fail2Ban، شما می‌توانید تلاش‌های ناموفق برای دسترسی به سیستم را شناسایی کنید و از این طریق از حملات نفوذی جلوگیری کنید. در اینجا، ما به شما نحوه نصب و پیکربندی Fail2Ban در CentOS 7 را آموزش می‌دهیم.

1. نصب Fail2Ban

برای نصب Fail2Ban در CentOS 7، دستورات زیر را به ترتیب در ترمینال وارد کنید:

sudo yum install epel-release
sudo yum install fail2ban

2. پیکربندی Fail2Ban

پس از نصب Fail2Ban، باید فایل تنظیمات اصلی آن را پیکربندی کنید. برای این کار، ابتدا باید فایل /etc/fail2ban/jail.conf را با دستور زیر کپی کنید:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

سپس، فایل /etc/fail2ban/jail.local را با ویرایشگر متنی مانند nano ویرایش کنید:

sudo nano /etc/fail2ban/jail.local

در این فایل، شما می‌توانید تنظیمات Fail2Ban را تغییر دهید. برای مثال، شما می‌توانید تعداد تلاش‌های ناموفق برای ورود به سیستم را تعیین کنید تا IP آدرس‌های خاصی مسدود شوند. برای این کار، باید خطوط زیر را در فایل /etc/fail2ban/jail.local اضافه کنید:

[sshd]
enabled = true
port = ssh
maxretry = 5

این تنظیمات، Jail برای SSH را فعال می‌کند و مشخص می‌کند که در صورت بیش از 5 تلاش ناموفق برای ورود به سیستم، IP آدرس مسدود خواهد شد.

بعد از پیکربندی Fail2Ban، باید سرویس آن را راه‌اندازی کنید. برای این کار، دستور زیر را در ترمینال وارد کنید:

sudo systemctl start fail2ban

3. راه اندازی Fail2Ban

برای اینکه سرویس Fail2Ban همیشه در حال اجرا باشد، باید آن را برای بارگذاری همراه با سیستم پیکربندی کنید. برای این کار، دستور زیر را وارد کنید:

sudo systemctl enable fail2ban

4. بررسی لاگ‌های Fail2Ban

شما می‌توانید لاگ‌های Fail2Ban را در فایل /var/log/fail2ban.log بررسی کنید. با دستور زیر، می‌توانید لاگ‌ها را باز کنید:

sudo nano /var/log/fail2ban.log

در این فایل، شما می‌توانید اطلاعاتی راجع به IP آدرس‌هایی که تلاش کرده‌اند به سیستم شما دسترسی پیدا کنند را ببینید.

5. اضافه کردن Jail به Fail2Ban

شما می‌توانید Jail جدیدی به Fail2Ban اضافه کنید تا به مشکلات امنیتی دیگری بپردازد. برای این کار، باید فایل /etc/fail2ban/jail.local را ویرایش کرده و Jail جدید را اضافه کنید.به عنوان مثال، برای افزودن Jail برای Apache، خطوط زیر را به فایل /etc/fail2ban/jail.local اضافه کنید:

[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/httpd/access_log
maxretry = 6

6. بازبینی لیست IP آدرس‌های مسدود شده

شما می‌توانید لیست IP آدرس‌هایی که توسط Fail2Ban مسدود شده‌اند را با دستور زیر در ترمینال بررسی کنید:

sudo fail2ban-client status

همچنین، با دستور زیر می‌توانید لیست IP آدرس‌هایی که توسط Jail خاصی مسدود شده‌اند را ببینید: [sshd]

sudo fail2ban-client status sshd

7. پیکربندی ایمیل هشداردهی

Fail2Ban قادر است به شما ایمیل هشدار بدهد هنگامی که IP آدرسی مسدود می‌شود. برای پیکربندی این ویژگی، باید فایل /etc/fail2ban/jail.local را ویرایش کرده و خطوط زیر را اضافه کنید:

[DEFAULT]
destemail = cyber@bluost.dev
sender = security@bluhost.dev

8. رفع مشکلات مرتبط با Fail2Ban

در برخی موارد، ممکن است مشکلاتی با استفاده از Fail2Ban رخ دهد. به عنوان مثال، ممکن است شما مواردی را در فایل لاگ Fail2Ban نیافتید، یا Jail شما به‌طور ناخواسته IP آدرس‌های شما را مسدود کرده باشد.

برای رفع اینگونه مشکلات، می‌توانید به فایل‌های تنظیمات Fail2Ban دسترسی پیدا کنید و آن‌ها را ویرایش کنید. در صورتی که مشکلی را نتوانید رفع کنید، می‌توانید به مستندات Fail2Ban مراجعه کنید یا با پشتیبانی بلوهاست تماس بگیرید. تیم های فنی ما در هر ساعت از شبانه روز آماده پاسخگویی و رفع مشکلات احتمالی مشتریان هستند .