Блокировка IP-адресов (Fail2Ban) — это автоматизированный способ защитить ваш сервер от атак методом перебора (брутфорс). Используя регулярные выражения, Fail2Ban проверяет файлы журналов на различные ошибки аутентификации, ищет эксплойты и другие записи, которые могут считаться подозрительными. Ведется подсчет подобных записей журнала, и, когда их количество достигает определенного значения, Fail2Ban или отправляет уведомление по электронной почте, или блокирует IP-адрес злоумышленника на определенный период времени. По окончании периода блокировки IP-адрес автоматически разблокируется.

Логику работы Fail2Ban определяют джейлы. Джейл представляет собой набор правил для конкретного сценария. Настройки джейла определяют, что нужно сделать в случае, если обнаружена атака в соответствии с определенным фильтром (набором из одного или нескольких регулярных выражений, используемым для мониторинга журналов). Более подробную информацию смотрите в разделе Управление джейлами Fail2Ban.

В Plesk Obsidian Fail2Ban включен по умолчанию: все доступные джейлы включены, и используются настройки Fail2Ban по умолчанию. В большинстве случаев мы рекомендуем вам оставить эти настройки, но вы можете также и изменить их в случае необходимости.

Чтобы изменить настройки Fail2Ban:

  1. Перейдите в раздел Инструменты и настройки  >  Блокировка IP-адресов (Fail2Ban) (в разделе «Безопасность»).
  2. Откройте вкладку «Настройки». Здесь вы можете изменить следующие настройки:
    • Период блокировки IP-адреса – период времени в секундах, на который будет заблокирован IP-адрес. По окончании этого периода IP-адрес автоматически разблокируется.
    • Интервал обнаружения последующих атак – интервал времени в секундах, в течение которого система подсчитывает количество безуспешных попыток входа и других нежелательных действий со стороны того или иного IP-адреса.
    • Допустимое количество неудачных попыток входа перед блокировкой IP-адреса – количество неудавшихся попыток входа со стороны IP-адреса.
  3. Нажмите OK.

image-75007.png

Использование Fail2Ban в Plesk имеет следующие особенности и ограничения:

  • Fail2Ban защищает от атак с использованием как IPv4, так и IPv6 адресов.
  • Fail2Ban, если его не перенастраивать, ориентируется только на IP-адреса (без преобразования имени хоста).
  • Fail2Ban не защищает от распределенных атак методом перебора, так как идентифицирует злоумышленников по IP-адресам.
  • Если у вас Plesk установлен на VPS, ограничение количества записей в iptables на VPS (numiptent) может повлиять на работу Fail2Ban. При превышении этого ограничения работа Fail2Ban будет нарушена, а в журнале Fail2Ban появится подобная запись: fail2ban.actions.action: ERROR iptables -I fail2ban-plesk-proftpd 1 -s 12.34.56.78 -j REJECT --reject-with icmp-port-unreachable returned 100 В этом случае для решения проблемы обратитесь к своему провайдеру хостинга VPS.

Чтобы предотвратить блокировку конкретного IP-адреса:

  1. Откройте  Инструменты и настройки  >  Блокировка IP-адресов (Fail2Ban)  > Надежные IP-адреса  > Добавить надежный IP-адрес.
  2. В поле IP-адрес введите IP-адрес, диапазон IP-адресов или имя узла DNS и нажмите OK.

Файлы журналов Fail2Ban можно посмотреть и скачать на странице  Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Журналы.

Посмотреть список заблокированных IP-адресов, разблокировать их или перенести в список надежных можно на странице Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Заблокированные IP-адреса.

Посмотреть список IP-адресов, которые никогда не будут заблокированы, а также добавить или удалить IP-адрес из этого списка можно на странице Инструменты и настройки > Блокировка IP-адресов (Fail2Ban) > Надежные IP-адреса.