Fail2Ban är ett av de mest använda systemen för att stoppa attacker mot Linux servers genom att scanna loggfiler och från resultaten blockera IP adresser i brandväggen. Fail2Ban är dock designat för att köras lokalt på en enda server, men kan enkelt byggas ut till ett centraliserat Fail2Ban system där alla servers i en grupp kan dela en gemensam lista på IP adresser som behöver blockeras.
I stället för att vara reaktiv får man ett proaktivt system, vilket är till stor nytta då samma angripare ofta angriper många servers.
Ett centraliserat Fail2Ban system är lätt att bygga för den händige. Det som behövs är en centralt belägen databas, något som triggar en uppdatering av databasen, och något som hämtar data och blockerar i brandväggen. På ett säkert sätt i alla delar.
Vi har nu skapat en eBok (PDF engelska) som med exempel beskriver en komplett lösning (som vi själva också använder), du kan köpa eBoken via Stripe för endast 5 € genom att klicka på denna länk. VIKTIGT! Du får nedladdningslänken till eBoken i onlinekvittot i samband med köpet, kopiera först länken och spara i tex en textfil innan du klickar på denna.
I de exempel som beskrivs i eBoken används en RHEL 8 server (vilket också skall fungera med alla kloner baserade på RHEL), en MySQL databas samt PHP. Exemplen bör dock inte vara något större problem att “översätta” till andra system. Det som beskrivs för Fail2Ban bör vara generellt för alla Linux distributioner.
Det som beskrivs i eBoken är inte ett komplett nyckeln-i-handen system, du behöver själv hantera all säkerhet runt detta och även anpassa exempelkod mm för din specifika miljö och dina specifika behov.
Ps. Vi är experter på säkerhet, kontakta oss när du behöver hjälp!
