Мне было интересно, можно ли иметь клиентов fail2ban на разных машинах и иметь сервер на одной машине, обменивающийся данными со всеми клиентами?
Вот моя ситуация: у меня 4 сервера, и я использую fail2ban для их защиты. На данный момент у меня установлен один клиент и один сервер на каждую машину. Интересно, мог бы я иметь только одного клиента на каждой машине и иметь только один сервер на одной машине, который будет взаимодействовать со всеми клиентами. Все серверы работают на CentOS, и я использую iptables для бана.
Вы знаете, как это сделать?
Теоретически это возможно. Целесообразно ли это делать - другой вопрос. Если вы хотите реализовать это, потребуется изрядная настройка правил обнаружения и действий в fail2ban.
Основная идея была бы такой:
Настроить все «клиентские» системы на отправку своих системных журналов на «главный» сервер. Fail2ban будет работать на этом мастере и будет следить за журналами, поступающими со всех клиентских машин. Вам потребуется настроить отдельный фильтр и правила действий для каждого клиентского компьютера, чтобы каждое правило соответствия соответствовало только записям журнала для этого конкретного сервера. Затем для определений действий вместо того, чтобы вставлять правила iptables локально на сервере, он будет выполнять удаленную команду iptables на клиенте через ssh.