Недавно я установил fail2ban как способ защитить один из наших веб-серверов от атак SSH и HTTP. На данный момент я получаю много ssh-атак, но fail2ban их запрещает, а затем разблокирует. Это способ навсегда запретить эти IP-адреса из-за уровня атак.
Также в fail2ban, как разрешить HTTP-запросы с определенного IP-адреса, чтобы они не были заблокированы, поскольку наши разработчики будут делать много странных запросов в папке / var / www / dev, которые покажут, что файл не существует, и т. Д.
Все советы приветствуются ура
Вы можете добавить IP / сеть в белый список fail2ban, чтобы добиться именно этого (я имею в виду вторую часть). Отредактируйте ignoreip
параметр на вашем jail.conf
(вероятно на /etc/fail2ban
).
Что касается первой части, я видел это обходное решение, упомянутое в вики по fail2ban:
http://whyscream.net/wiki/index.php/Fail2ban_monitoring_Fail2ban
Я думаю, вам нужно будет использовать комбинацию fail2ban (для временных запретов) и denyhosts (для постоянных запретов).
Я бы посоветовал быть очень осторожным с постоянными запретами, это может иметь неожиданные неприятные последствия (например, действительные запросы и попытки взлома, исходящие с одного и того же общедоступного IP-адреса, поскольку реальный источник находится за маскирующим брандмауэром, например, университетская сеть). Вероятно, лучше поэкспериментировать с настройками тюрьмы для конкретных попыток взлома в fail2ban, пока вы не достигнете хорошего компромисса.
Я использую denyhosts
По умолчанию запреты не снимаются.
Вы можете иметь исключения в /etc/hosts.allow