Fail2Ban é uma ferramenta de segurança essencial para servidores Linux, projetada para proteger contra ataques de força bruta e outras tentativas maliciosas de acesso. Ele monitora logs de serviços como SSH, Apache, e-mail e outros, bloqueando endereços IP suspeitos após um número definido de tentativas de login falhas. Este artigo irá guiá-lo através do processo de instalação, configuração e operação do Fail2Ban em um ambiente Linux.

Instalação do Fail2Ban

A instalação do Fail2Ban é bastante simples e pode ser feita através do gerenciador de pacotes de sua distribuição Linux. Aqui está como você pode instalá-lo em algumas das distribuições mais populares:

Para distribuições baseadas em Debian (como Ubuntu):

sudo apt update
sudo apt install fail2ban

Para distribuições baseadas em Red Hat (como CentOS):

sudo yum install epel-release
sudo yum install fail2ban

Configuração Básica do Fail2Ban

Após a instalação, a configuração do Fail2Ban é feita principalmente através do arquivo jail.local. Este arquivo é usado para definir quais serviços serão monitorados e quais ações serão tomadas quando uma tentativa de intrusão for detectada.

1. Crie o arquivo de configuração local:

   sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

2. Edite o arquivo jail.local:

   Abra o arquivo com seu editor de texto preferido, por exemplo:

   sudo nano /etc/fail2ban/jail.local

3. Configure o serviço SSH:

   No arquivo jail.local, localize a seção [sshd] e ajuste as configurações conforme necessário. Por exemplo:

   [sshd]
   enabled = true
   port = ssh
   filter = sshd
   logpath = /var/log/auth.log
   maxretry = 3

   Aqui, enabled = true ativa a proteção para o serviço SSH, e maxretry = 3 define que o IP será bloqueado após 3 tentativas de login falhas.

Iniciando e Verificando o Serviço Fail2Ban

Após configurar o Fail2Ban, inicie o serviço e verifique seu status:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban
sudo systemctl status fail2ban

Verificando e Desbloqueando IPs Banidos

Para verificar quais IPs foram banidos, use o seguinte comando:

sudo fail2ban-client status sshd

Para desbloquear um IP específico:

sudo fail2ban-client set sshd unbanip <IP_ADDRESS>

Conclusão

O Fail2Ban é uma ferramenta poderosa para proteger seu servidor Linux contra acessos não autorizados. Com a configuração correta, ele pode reduzir significativamente o risco de ataques de força bruta. Lembre-se de revisar regularmente suas configurações e logs para garantir que seu sistema esteja sempre protegido.