L’esclusione dell’indirizzo IP (Fail2Ban) è un modo automatico di proteggere il proprio server dagli attacchi di forza bruta. Fail2Ban usa espressioni regolari per monitorare i file di log per i modelli corrispondenti agli errori di autenticazione, la ricerca di exploit e altri elementi che possono essere considerati sospetti. Queste voci di registro vengono conteggiate e, quando il loro numero raggiunge un valore predefinito, Fail2Ban invia un’e-mail di notifica o esclude l’IP dell’hacker per un periodo predeterminato. Quando il periodo di esclusione è passato, l’indirizzo IP viene automaticamente accettato.

La logica di Fail2Ban dipende da un numero di jail. Una jail è un gruppo di regole che coprono un singolo scenario. Le impostazioni della jail stabiliscono l’intervento quando viene rilevato un attacco sulla base di un filtro predefinito (un gruppo di una o più espressioni regolari per il monitoraggio dei registri). Per maggiori informazioni, vedere Gestione di Jail di Fail2Ban.

In Plesk Obsidian, Fail2Ban è abilitato per impostazione predefinita: tutte le jail disponibili sono attive e vengono utilizzate le impostazioni predefinite di Fail2Ban. Nella maggior parte dei casi, consigliamo di mantenerle invariate ma, se necessario, possono essere regolate.

Per modificare le impostazioni di Fail2Ban:

  1. Vai a Strumenti e impostazioni > Esclusione indirizzo IP (Fail2Ban) (in «Sicurezza»).
  2. Vai alla scheda «Impostazioni». Qui puoi modificare:
    • Periodo di proibizione di indirizzi IP – intervallo di tempo in secondi durante il quale un indirizzo IP è proibito. Quando questo periodo sarà passato, l’indirizzo IP viene automaticamente accettato.
    • Intervallo di tempo per il rilevamento di attacchi successivi - l’intervallo di tempo in secondi durante il quale il sistema calcola il numero di tentativi di accessi non riusciti e altre azioni non desiderate da un indirizzo IP.
    • Numero di errori prima che l’indirizzo IP sia proibito – il numero di tentativi di accesso non riusciti dall’indirizzo IP.
  3. Fai clic su OK.

image 75007

Fail2Ban in Plesk ha le seguenti limitazioni e peculiarità:

  • Fail2Ban protegge dagli hacker con indirizzi IPv4 e IPv6.
  • Fail2Ban si basa unicamente su IP (senza ricerche di nome host) a meno che non sia stato riconfigurato.
  • Fail2Ban non può proteggersi contro gli attacchi di forza bruta distribuiti, poiché identifica gli intrusi dal loro indirizzo IP.
  • Se la tua istanza di Plesk è installata su un VPS, il limite dei registri iptables VPS (numiptent) potrebbe incidere sul funzionamento di Fail2Ban. Quando questo limite sarà oltrepassato, Fail2Ban smetterà di funzionare correttamente e nel registro di Fail2Ban verrà mostrata una riga simile a questa: fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100 In questo caso, contattare il fornitore di hosting VPS per risolvere il problema.

Se un indirizzo IP non deve essere bloccato:

  1. Vai a  Strumenti e impostazioni > Esclusione indirizzo IP (Fail2Ban) > Indirizzi IP attendibili > Aggiungi IP attendibile.
  2. Nel campo Indirizzo IP, fornisci un indirizzo IP, un intervallo IP o un nome host DNS e fai clic su OK.

Puoi visualizzare e scaricare i file di registro Fail2Ban in  Strumenti e impostazioni > Esclusione indirizzo IP (Fail2Ban) > scheda Registri .

È possibile visualizzare la lista di Indirizzi IP esclusi, riammetterli o spostarli nella lista di indirizzi attendibili in Strumenti e impostazioni > Esclusione indirizzo IP (Fail2Ban) > scheda Indirizzi IP esclusi .

È possibile visualizzare la lista di Indirizzi IP che non saranno mai esclusi, aggiungere o rimuovere indirizzi IP a/da questa lista in Strumenti e impostazioni > Esclusione indirizzo IP (Fail2Ban) > Indirizzi IP attendibili .