Instalei recentemente o fail2ban como uma forma de manter um dos nossos servidores da Web protegido contra ataques SSH e HTTP. No momento, estou recebendo muitos ataques ssh, mas o fail2ban está banindo e, em seguida, desbaniciando esses. É uma maneira de banir permanentemente esses IPs devido ao nível de ataques?
Também no fail2ban como permitir solicitações HTTP de um determinado IP para que elas não sejam banidas, pois nossos desenvolvedores farão muitas solicitações estranhas na pasta / var / www / dev que mostrará que o arquivo não existe, etc.
Todos os conselhos receberam aplausos
Você pode adicionar um IP / rede à lista de permissões do fail2ban para realizar apenas isso (a segunda parte, quero dizer). Edite o parâmetro ignoreip no seu jail.conf (provavelmente em /etc/fail2ban ).
Quanto à primeira parte, vi essa solução alternativa mencionada no wiki do fail2ban:
Eu uso denyhosts
Por padrão, ele não elimina proibições
Você pode ter exclusões em /etc/hosts.allow
Acho que você precisará usar uma combinação de fail2ban (para proibições temporárias) e denyhosts (para proibições permanentes).
Eu aconselharia ter muito cuidado com as proibições permanentes, isso pode sair pela culatra de maneiras inesperadas (como solicitações válidas e tentativas de invasão vindas do mesmo IP público, porque a fonte real está por trás de um firewall mascarado, por exemplo, uma rede universitária) . É provavelmente uma idéia melhor brincar com as configurações de prisão para tentativas de invasão específicas no fail2ban até que você consiga um bom compromisso.