Fail2ban

Fail2ban bewaakt logbestanden en blokkeert automatisch IP-adressen die te veel mislukte inlogpogingen doen. Het beschermt SSH, webservers en andere diensten tegen brute force-aanvallen.

Hoe het werkt

1. Fail2ban leest logbestanden (bijv. /var/log/auth.log)
2. Herkent patronen van mislukte inlogpogingen via reguliere expressies
3. Blokkeer het IP-adres tijdelijk via de firewall (iptables of nftables)
4. Na de ingestelde bantime wordt het IP automatisch vrijgegeven

Configuratie

Hoofdconfiguratie in /etc/fail2ban/jail.conf — pas aan via /etc/fail2ban/jail.local:

[sshd]
enabled  = true
port     = ssh
maxretry = 5        # maximaal 5 pogingen
findtime = 10m      # binnen 10 minuten
bantime  = 1h       # dan 1 uur blokkeren

Beheren

fail2ban-client status              # overzicht van alle jails
fail2ban-client status sshd         # geblokkeerde IPs voor SSH
fail2ban-client unban 1.2.3.4       # IP deblokkeren

Zie ook

• firewall
• SSH
• journalctl — logbestanden bekijken