Ochrana Raspberry Pi pomocí Fail2Ban

Publikováno , autor:
Fail2Ban

Fail2Ban je open-source bezpečnostní nástroj, který chrání systém před útoky typu brute-force – tedy opakovanými pokusy o přihlášení pomocí špatného hesla. Sleduje logy služeb jako SSH, Postfix, Dovecot, Nginx aj., a pokud zjistí podezřelé chování (např. mnoho neúspěšných přihlášení z jedné IP adresy), automaticky tuto IP zablokuje pomocí firewallu (iptables/nftables) na definovanou dobu.

Fail2Ban tak výrazně zvyšuje bezpečnost Raspberry Pi, zejména pokud je zařízení přístupné z internetu (např. pro správu přes SSH nebo provoz webového/mailového serveru).

Instalace Fail2Ban na Raspberry Pi

Aktualizace systému:

sudo apt update && sudo apt upgrade -y

Instalace Fail2Ban:

sudo apt install fail2ban -y

Povolení a spuštění služby:

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Ověření stavu:

sudo systemctl status fail2ban

Základní konfigurace (SSH ochrana)

Hlavní konfigurační soubor se nenastavuje přímo – místo toho se vytvoří kopie:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Soubor otevři k editaci:

sudo nano /etc/fail2ban/jail.local

Vyhledej sekci [sshd] a uprav ji např. takto:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 1h
findtime = 10m
  • enabled – zapne sledování služby SSH
  • maxretry – počet neúspěšných pokusů před zablokováním
  • bantime – délka blokace (např. 1h, 24h nebo -1 pro trvalou blokaci)
  • findtime – časové okno, ve kterém se počítají pokusy

Po úpravě souboru konfiguraci načti:

sudo systemctl restart fail2ban

Ověření funkce

Stav a seznam aktivních jailů:

sudo fail2ban-client status

Detail pro SSH:

sudo fail2ban-client status sshd

Zobrazení zablokovaných IP adres:

sudo iptables -L -n
  • Fail2Ban lze použít i pro ochranu webových serverů (Apache, Nginx) nebo mail serverů (Postfix, Dovecot).
  • Pro Raspberry Pi v domácí síti je vhodné nastavit e-mailové upozornění při blokaci IP adresy – přidáním konfigurace destemail a action = %(action_mw)s v jail.local.
  • Pravidelně kontroluj logy ve složce /var/log/fail2ban.log.

Fail2Ban je jednoduché a účinné řešení, které chrání Raspberry Pi před útoky z internetu.
Instalace je otázkou několika minut a konfigurace umožňuje snadné přizpůsobení konkrétním službám.
Doporučuje se jej používat jako základní bezpečnostní vrstvu spolu s SSH klíči a pravidelnými aktualizacemi systému.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *