Come sbloccare un IP in fail2ban

Molti degli strumenti di sicurezza non proteggono il tuo sistema da compromessi. Anche l'impostazione della password più forte non risolve il problema in quanto può essere violata anche con diverse tecniche. Fail2ban è un ottimo strumento che ti consente di vietare l'indirizzo IP che sta effettuando tentativi di autenticazione errati. Piuttosto che consentire a un utente di provare e avere successo, lo blocca in primo luogo. Quindi, previene le intrusioni prima che comprendano il tuo sistema.

Durante i tentativi di autenticazione errati, a volte fail2ban può bloccare anche le connessioni legittime. Per impostazione predefinita, il tempo di divieto è di 10 minuti. Dopo 10 minuti, un indirizzo IP vietato viene riattivato automaticamente. Tuttavia, se un sistema legittimo viene bannato e non puoi aspettare che scada il periodo di ban, puoi riabilitarlo manualmente. In questo post, descriveremo come riattivare un indirizzo IP in fail2ban.

Sfondo:

Quando un utente tenta di accedere con una password errata superiore a quella specificata dal maxretry opzione nel /etc/fail2ban/jail.Locale file, viene bannato da fail2ban. Bandendo l'indirizzo IP del sistema, nessun utente sul sistema bandito può utilizzare il servizio bandito.

Di seguito è riportato il messaggio di errore ricevuto da un utente con l'indirizzo IP “192.168.72.186" vietato da fail2ban. Stava tentando di accedere al server tramite SSH utilizzando le password errate.

Visualizza l'indirizzo IP vietato e le informazioni sul jail

Per scoprire quali indirizzi IP sono stati bannati e a che ora, puoi visualizzare i log dal server in cui è installato fail2ban:

$ cat /var/log/fail2ban.log

Il seguente output mostra l'indirizzo IP “192.168.72.186” è bandito da fail2ban ed è in carcere chiamato “sshd."

Puoi anche utilizzare il seguente comando con il nome della jail per mostrare gli IP vietati:

$ sudo fail2ban-client status

Ad esempio, nel nostro caso, l'indirizzo IP bannato è nella jail "sshd", quindi il comando sarebbe:

$ sudo fail2ban-client status sshd

L'output conferma l'indirizzo IP “192.168.72.186” è in carcere chiamato “sshd."

Annulla il ban di un IP in fail2ban

Per sbloccare un indirizzo IP in fail2ban e rimuoverlo dalla jail, utilizzare la seguente sintassi:

$ sudo fail2ban-client set jail_name unbanip xxx.xxx.xxx.xxx

dove "jail_name" è la jail in cui si trova l'indirizzo IP vietato e "xxx.xxx.xxx.xxx" è l'indirizzo IP che è stato bannato.

Ad esempio, per sbloccare un indirizzo IP "192.168.72.186", che si trova nella jail "sshd", il comando sarebbe:

$ sudo fail2ban-client set sshd unbanip 192.168.72.186

Verifica se l'indirizzo IP è stato sbloccato

Ora per verificare se l'indirizzo IP è stato sbloccato, visualizza i log utilizzando il comando seguente:

$ cat /var/log/fail2ban.log

Nei log, vedrai un Rimuovi iscrizione.

Oppure puoi anche utilizzare il seguente comando per confermare se l'indirizzo IP è stato sbloccato:

$ sudo fail2ban-client status

Sostituisci "jail_name" con il nome della jail in cui si trovava l'indirizzo IP vietato.

Se non trovi l'indirizzo IP elencato nel Elenco IP vietati, significa che è stato riammesso con successo.

Ecco come sbloccare un indirizzo IP in fail2ban. Dopo aver sbloccato l'indirizzo IP, puoi facilmente accedere al server tramite SSH.