Cómo instalar Fail2ban en Ubuntu Server 18.04

Agregue un sistema de detección de intrusos en Ubuntu para mayor seguridad. El servidor Ubuntu es muy apreciado en muchos niveles. Aunque puede que no sea tan seguro fuera de la caja como es, por ejemplo, CentOS, puede, con algunas adiciones, llegar a esa ocasión en particular.

Agregue un sistema de detección de intrusos en Ubuntu para mayor seguridad.

El servidor Ubuntu es muy apreciado en muchos niveles. Aunque puede que no sea tan seguro fuera de la caja como es, por ejemplo, CentOS, puede, con algunas adiciones, llegar a esa ocasión en particular.

Un paso que puede tomar para ayudar a mejorar la seguridad del Servidor Ubuntu es agregar un sistema de detección de intrusos. Para eso, es probable que desee recurrir a Fail2ban. Fail2ban supervisa archivos de registro específicos (que se encuentran en el directorio /var/log ) en busca de intentos fallidos de inicio de sesión o ataques automáticos. Cuando Fail2ban detecta un intento de compromiso de una dirección IP, bloquea la dirección IP (al agregar una nueva cadena al sistema de seguridad de iptables) para que no ingrese (o intente atacar) el servidor. Instalemos Fail2ban en la plataforma Ubuntu Server 18.04.

Lo que necesitará para instalar Fail2ban

Todo lo que necesita para instalar con éxito Fail2ban es una instancia en ejecución de Ubuntu Server 18.04 y una cuenta de usuario con privilegios de sudo. Tanto la instalación como la configuración de Fail2ban se realizan a través de la línea de comandos, así que prepárese para escribir.

Actualice Ubuntu antes de instalar Fail2ban

La instalación de Fail2ban es muy simple. Sin embargo, antes de instalar el paquete, primero debemos actualizar y actualizar Ubuntu. Tenga en cuenta que si este proceso actualiza el núcleo, deberá reiniciar el servidor (para que los cambios surtan efecto). Debido a esto, asegúrese de ejecutar el proceso de actualización/actualización en un momento en que sea posible reiniciar.

Para actualizar y actualizar Ubuntu Server, abra una terminal y emita los siguientes comandos:

 sudo apt-get update 
sudo apt-get upgrade -y

Una vez que se complete la actualización, reinicie el servidor (si es necesario) e instale Fail2ban.

Cómo instalar Fail2ban

Ahora es el momento de instalar Fail2ban. Esto se puede hacer con un solo comando. En la ventana de terminal, emita:

 sudo apt-get install -y fail2ban 

El comando anterior instalará todo lo necesario para ejecutar y administrar Fail2ban (incluido el comando fail2ban-client, que es necesario para desbancar las direcciones IP, más sobre eso en un momento). Una vez que se complete la instalación, deberá iniciar y habilitar Fail2ban con los siguientes dos comandos:

 sudo systemctl start fail2ban 
sudo systemctl enable fail2ban

Fail2ban ahora se está ejecutando en el sistema y está listo para ser configurado.

Configurando Fail2ban

Fail2ban se configura utilizando cárceles. Una cárcel le permite definir cómo se monitoreará un servicio y qué tan rápido tomar medidas contra los ataques. Hay muchas opciones que se pueden configurar para cada cárcel, pero vamos a comenzar con algo pequeño.

Fuera de la caja, el sistema ya es bastante seguro. Sin embargo, también es muy flexible. El archivo de configuración principal es /etc/fail2ban/jail.conf . No desea editar ese archivo. En su lugar, creará un nuevo archivo con la extensión de archivo .local. Fail2ban siempre lee los archivos .conf primero y los archivos .local en segundo lugar. Cualquier configuración leída en el archivo .local anulará configuraciones similares en el archivo .conf. Supongamos que desea crear una cárcel personalizada para el demonio Secure Shell que:

  • Supervisar /var/log/auth.log
  • Utilice el filtro sshd fail2ban predeterminado
  • Establezca el puerto SSH en 22
  • Establezca el reintento máximo en 3

Las personalizaciones ssh en la cárcel .local anularán cualquier configuración similar encontrada dentro del archivo de configuración principal, jail.conf (por ejemplo, el reintento máximo predeterminado en jail.conf se establece en 5). Con esta cárcel en su lugar, si una persona (o bot) falla un intento de inicio de sesión SSH tres veces, se prohibirá la dirección IP de origen.

Para configurar esto, emita el comando:

 sudo nano /etc/fail2ban/jail.local 

En este nuevo archivo, pegue los siguientes contenidos:

 [sshd] 
enabled = true
port = 22
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Guarde y cierre el archivo presionando simultáneamente las teclas Ctrl y X en su teclado. Con ese archivo guardado, reinicie Fail2ban con el comando:

 sudo systemctl restart fail2ban 

Prueba Fail2ban

Para probar Fail2ban, vaya a otra máquina e intente Secure Shell en el servidor, cada vez que escriba la contraseña de usuario incorrectamente. Después del tercer inicio de sesión fallido, el usuario será baneado. Puede intentar volver a SSH al servidor desde la misma dirección IP, pero se le negará el acceso. Felicitaciones, su nueva cárcel Fail2ban está funcionando.

Desbloqueo de una dirección IP

Entonces ahora tiene Fail2ban funcionando y ha probado con éxito la cárcel SSH. Desafortunadamente, la máquina con la que acaba de probar la cárcel ahora está bloqueada. ¿Qué haces?Afortunadamente, los desarrolladores pensaron en eso e incluyeron los medios para desbloquear fácilmente una dirección IP. Digamos que la dirección IP que usó para probar Fail2ban era 192.168.1.100, y aún debe poder usar esa dirección para obtener acceso al servidor. Puede deshacer esa IP con el comando fail2ban-client (que se instala junto con fail2ban) de esta manera:

 sudo fail2ban-client set sshd unbanip 192.168.1.100 

Después de emitir el comando anterior, ahora debería poder Secure Shell nuevamente en el servidor que ejecuta Fail2ban.

Rate article
labsfabs.com
Add a comment