🔐 Fail2Ban: Автоматична защита на SSH достъпа от brute-force атаки

В днешната дигитална среда, когато дори домашните сървъри са често изложени на интернет, защитата на отдалечения достъп чрез SSH е от съществено значение. Един от най-ефективните инструменти за борба с неоторизирани опити за влизане е Fail2Ban – интелигентна система, която автоматично блокира злонамерени IP адреси.

В тази статия ще разгледаме:

• Как работи Fail2Ban?
• Как да го инсталираме и конфигурираме?
• Как да настроим защита за SSH?
• Как да разгледаме логовете и баннатите IP адреси?
• Разширени настройки и съвети за по-висока сигурност.

🧠 Какво е Fail2Ban?

Fail2Ban е Python-базиран демон, който следи логовите файлове на системата и предприема действия при засичане на подозрителна активност – най-често чрез iptables или firewalld, за да блокира IP адреси, които многократно са опитали да се логнат неуспешно.

Най-често се използва за защита на:

• SSH
• FTP
• Mail сървъри
• Web login форми (чрез custom филтри)

🧰 Инсталация на Fail2Ban

✅ Debian / Ubuntu:

sudo apt update
sudo apt install fail2ban -y

✅ CentOS / RHEL / AlmaLinux / Rocky:

sudo dnf install epel-release -y
sudo dnf install fail2ban -y

След инсталацията, стартираме и активираме услугата:

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Проверка на статуса:

sudo systemctl status fail2ban

⚙️ Основна конфигурация на Fail2Ban за SSH

По подразбиране, Fail2Ban идва с готов „jail“ за SSH. Конфигурационните файлове се намират в:

/etc/fail2ban/

Никога не променяйте директно jail.conf – вместо това създайте локален файл:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Отворете го за редакция:

sudo nano /etc/fail2ban/jail.local

Открийте секцията [sshd] и активирайте я:

[sshd]
enabled = true
port    = ssh
logpath = %(sshd_log)s
maxretry = 5
bantime = 1h
findtime = 10m

Обяснение:

• enabled = true – активира jaila за SSH
• port = ssh – използва стандартния порт (може да го смените ако сте променили порта на SSH)
• maxretry = 5 – разрешава 5 грешни опита
• bantime = 1h – банва IP-то за 1 час
• findtime = 10m – засича опитите в рамките на 10 минути

🚫 Пример от реална атака в лога

sshd[2418]: Failed password for root from 185.254.XX.XX port 47122 ssh2

Fail2Ban ще засече това и след 5 такива опита – ще блокира IP адреса автоматично.

🔍 Проверка и управление на баннати IP адреси

Проверка на статус на jail:

sudo fail2ban-client status

Проверка на конкретен jail:

sudo fail2ban-client status sshd

Ще видите нещо като:

Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     7
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 2
   |- Total banned:     5
   `- Banned IP list:   185.254.XX.XX 91.92.XX.XX

Разблокиране на IP:

sudo fail2ban-client set sshd unbanip 185.254.XX.XX

🔒 Разширена защита

Промяна на bantime на по-дълъг период

bantime = 24h

Постоянен бан:

bantime = -1

(ВНИМАНИЕ: Може да блокирате легитимни потребители, ако не внимавате.)

📈 Мониторинг с fail2ban-client и logwatch

Fail2Ban поддържа CLI интерфейс с множество команди за мониторинг:

sudo fail2ban-client status
sudo fail2ban-client status sshd

Можете да автоматизирате дневен отчет чрез инструменти като logwatch.

🧪 Тестване на защитата

Можете да симулирате грешни входове от друг IP адрес или да използвате:

ssh wronguser@your-server-ip

След няколко опита (според maxretry) IP-то ще бъде блокирано.

🧠 Полезни съвети

• Комбинирай Fail2Ban с firewall (UFW или nftables) за още по-добра сигурност.
• Използвай нестандартен SSH порт.
• Деактивирай root достъп: PermitRootLogin no
• Разреши само ключова автентикация: PasswordAuthentication no
• Сложи Fail2Ban за други услуги (nginx, dovecot, postfix и т.н.)

📌 Заключение

Fail2Ban е мощен инструмент, който може буквално да спаси сървъра ви от непрекъснатото бомбардиране с brute-force атаки. Инсталацията и конфигурацията му отнема само няколко минути, но сигурността, която осигурява, е безценна. Заедно с други техники за SSH защита – като ключова автентикация, ограничаване на достъпа по IP и мониторинг – Fail2Ban е задължителен инструмент за всеки Linux администратор.