Fail2Ban چیست؟

Fail2Ban یک ابزار امنیتی است که برای محافظت از سرور در برابر حملات brute-force (مثل تلاش‌های مکرر برای ورود با رمز اشتباه به SSH، FTP، SMTP، پنل ادمین و...) استفاده می‌شود.

این ابزار با بررسی لاگ‌ها (log files)، IPهایی که رفتار مشکوک دارند (مثل تعداد زیاد تلاش ورود ناموفق) را شناسایی کرده و موقتا یا دائمی آن‌ها را بلاک (ban) می‌کند.

نصب Fail2Ban

sudo apt update
sudo apt install fail2ban

پیکربندی اولیه Fail2Ban

Fail2Ban از فایل‌هایی به نام jail برای تنظیم رفتار خود استفاده می‌کند. برای جلوگیری از تغییر فایل اصلی jail.conf، بهتر است از فایل jail.local استفاده کنید:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

مثال از یک تنظیم ساده برای SSH:

[sshd]
enabled = true
port = ssh
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600
findtime = 600

معانی تنظیمات بالا:

• enabled: فعال بودن نظارت بر SSH
• maxretry: حداکثر تعداد تلاش ناموفق قبل از مسدودسازی
• bantime: مدت زمان بلاک شدن IP (بر حسب ثانیه)
• findtime: بازه زمانی برای بررسی تلاش‌ها (بر حسب ثانیه)

دستور sudo systemctl restart fail2ban

پس از انجام تغییرات در تنظیمات Fail2Ban، برای اعمال آن‌ها باید سرویس را ریستارت کنید:

sudo systemctl restart fail2ban

کاربردهای اصلی این دستور:

• اعمال تنظیمات جدید
• رفع خطا یا مشکل موقتی در سرویس
• راه‌اندازی مجدد پس از آپدیت یا تغییر قوانین امنیتی

بررسی وضعیت سرویس Fail2Ban:

sudo systemctl status fail2ban