В материале показано как с помощью программы fail2ban, можно блокировать попытки перебора паролей

Если Ваш сервер или часть сервисов (например ssh) опубликованы в глобальной сети, то можно гарантировать наличие попыток доступа к нему чужими лицами. Одним из дейсвенных способов защиты является установка программы fail2ban, блокирующей IP-адрес злоумышленника (или бота) после обнаружения нескольких попыток перебора паролей (лобовой атакой).

Для установки программы fail2ban выполните команду:

apt-get install fail2ban

Данная команда развернет демон Fail2Ban на сервер. Настройки программы хранятся в директории /etc/fail2ban. Файл /etc/fail2ban/fail2ban.conf — определяет параметры протоколирования.

Настройки демона определяет файл: /etc/fail2ban/jail.conf. Этот файл секционный (состоит из секций), первая — [DEFAULT] — она определяет настройки программы по умолчанию, остальные — уточняют параметры для наиболее известных служб системы. Типовая конфигурацию по умолчанию выглядит так:

[DEFAULT]
ignoreip = 127.0.0.1
maxretry = 6
findtime = 600
bantime = 600

Такая конфигурация означает следующее. Для локального сервера проверки отключены. Для всех остальных максимальное число не успешных попыток подключения = 6 (параметр maxretry) в течение 10 минут (findtime — 600 секунд), после чего адрес будет заблокирован на 10 минут.
Блокировка адреса производится включением дополнительного правила в межсетевой экран iptables.
В папках action.d хранятся конфигурации для запускаемых программой действий (отправки почтового сообщения, добавления блокировки, отправка смс и т. д.), а в папке filter.d — правила определения попыток неудачного входа (в данных файлах содержатся шаблоны для поиска соответствующих строк в журналах системы, свидетельствующих о неудачной попытке входа).