Dodatkowym poziomem zabezpieczenia naszego serwera VPS, może być użycie aplikacji Fail2ban, która skanuje logi naszego systemu np. (/var/log/apache2/error_log) i blokuje podejrzane adresy IP aktualizując ustawienia zapory sieciowej (np. ze względu na podejrzane znaki, zbyt częste wprowadzanie nieoprawnego hasła, szukanie explointów, itp.)

Fail2ban posiada filtry dla różnych usług, między innymi ssh czy apache2.

Instalacja

Instalacja odbywa się poprzez wpisanie odpowiedniej komendy w terminalu:

apt-get install fail2ban 

Edycja pliku konfiguracyjnego

Po prawidłowej instalacji pakietu, przejdziemy do edycji pliku konfiguracyjnego, w celu dostosowania ustawień do naszych potrzeb.

Przed edycją, warto wykonać kopię aktualnego pliku konfiguracyjnego, który możemy przywrócić w przypadku popełnienia błędu:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.copy

Otwieramy plik ulubionym programem do edycji tekstu np. nano:

nano /etc/fail2ban/jail.conf
 

Moja propozycja zmian w pliku konfiguracyjnym z omówieniem (odszukujemy konkretne wartości i zmieniamy ich parametry):

# podajemy adresy IP, których program nie ma brać pod uwagę. Np. adres IP z którego łączymy się do serwera.
ignoreip = 127.0.0.1
# czas na jaki będzie zbanowany host
bantime = 60m 
# maksymalna liczba prób przed zbanowaniem
maxretry = 3
# podajemy mail, na który mają przychodzić powiadomienia o zdarzeniach
destemail = moj@mail.pl

Aby ustawienia zostały zastosowane, musimy jeszcze zrestartować usługę:

/etc/init.d/fail2ban restart
  

Jeżeli niczego nie namieszaliśmy, powinniśmy otrzymać komunikat o powodzeniu:

[ ok ] Restarting fail2ban (via systemctl): fail2ban.service.