Как настроить Fail2Ban для защиты сервера
Fail2Ban — open-source IDS, блокирует IP-адреса после N failed attempts. Стандарт для Linux-server security. Защищает: SSH brute-force, web-app login bruteforce, CMS scanning. Настройка 30 мин: apt install fail2ban → jail.local → перезапуск. Поддерживает iptables + nftables + firewalld.
Ниже: пошаговая инструкция, рабочие примеры, типичные ошибки, FAQ.
Пошаговая настройка
- Установка:
apt install fail2ban(Debian/Ubuntu) илиyum install fail2ban(RHEL) - Скопируйте:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local - В jail.local:
[DEFAULT] bantime = 3600; findtime = 600; maxretry = 3 - Включите SSH jail:
[sshd] enabled = true - Для web-app: создайте custom filter в /etc/fail2ban/filter.d/myapp.conf
- Restart:
systemctl restart fail2ban - Мониторинг:
fail2ban-client status sshdпоказывает banned IPs + статистику
Рабочие примеры
| Сценарий | Конфиг |
|---|---|
| /etc/fail2ban/jail.local (SSH) | [sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600 |
| Custom filter для nginx login | # /etc/fail2ban/filter.d/nginx-login.conf
[Definition]
failregex = .*POST /login HTTP.* 401
ignoreregex = |
| Enable nginx-login jail | [nginx-login]
enabled = true
port = http,https
filter = nginx-login
logpath = /var/log/nginx/access.log
maxretry = 5
findtime = 300
bantime = 1800 |
| Unban IP manually | fail2ban-client set sshd unbanip 1.2.3.4 |
| Telegram alerts при ban | action = %(action_mwl)s + telegram-action # custom action |
Типичные ошибки
- ignoreip не добавлен ваш admin IP — вы сами banned
- bantime = 1h для agressive bots = return каждый час с fresh IP
- maxretry = 10 — слишком liberal для SSH (attacker сможет попробовать 10 паролей)
- Не настроен persistent banning — после restart все bans resetятся (дефолтное поведение)
- Log format nginx не совпадает с default fail2ban filter — ничего не banned
Почему нам доверяют
Как это работает
Введите URL сайта
Анализ заголовков безопасности
Получите оценку A–F
Что проверяет анализ безопасности?
Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.
Анализ заголовков
Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.
Проверка SSL
Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.
Обнаружение утечек
Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.
Отчёт с рекомендациями
Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.
Кому это нужно
Специалисты по безопасности
аудит HTTP-заголовков
DevOps
проверка конфигурации
Разработчики
CSP и HSTS настройка
Аудиторы
соответствие стандартам
Частые ошибки
Strict-Transport-Security.Server: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.DENY или SAMEORIGIN.nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).Лучшие практики
Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.Server, X-Powered-By, X-AspNet-Version из ответов.Получите больше с бесплатным аккаунтом
История security-проверок и мониторинг HTTP-заголовков безопасности.
Зарегистрироваться (FREE)Больше по теме
Гайды
Часто задаваемые вопросы
Fail2Ban блокирует IPv6?
Да, если ваш iptables/nftables v6 support включён. <code>fail2ban-client status</code> покажет mix v4/v6 bans.
Будет ли block легитимные users?
Теоретически да, если maxretry низкий. Mitigation: разумный maxretry (3-5), bantime не слишком long (1-24 h), ignoreip для known IPs.
Замена для Fail2Ban?
CrowdSec — modern alternative с community threat feed. Но Fail2Ban проще для single server setup.
Как мониторить banned IPs?
<code>fail2ban-client status [jail]</code> или parse <code>/var/log/fail2ban.log</code>. Для Enterno <a href="/security">Security Scanner</a> показывает security posture.