Búsqueda de sitios web

¿Cómo verificar los registros de Fail2ban?


En la publicación de hoy, vamos a explicar cómo verificar los registros de Fail2ban. También explicaremos cuáles son los niveles de registro y los objetivos de registro y cómo podemos cambiarlos.

Nota: El procedimiento que se muestra aquí ha sido probado en Ubuntu 20.04. Sin embargo, se puede seguir el mismo procedimiento en otras distribuciones de Linux que tengan instalado Fail2ban.

¿Qué es un archivo de registro?

Los archivos de registro son archivos generados automáticamente por una aplicación o sistema operativo que tienen un registro de eventos. Estos archivos realizan un seguimiento de todos los eventos vinculados con el sistema o la aplicación que los generó. El propósito de los archivos de registro es mantener un registro de lo que sucedió detrás de escena para que, si ocurre algo, podamos ver una lista detallada de los eventos que sucedieron antes del problema. Es lo primero que revisan los administradores cuando encuentran algún problema. La mayoría de los archivos de registro terminan con la extensión .log o .txt.

Archivo de registro de Fail2ban

Fail2ban genera un archivo de registro que registra todos los eventos de los intentos de conexión. La propia aplicación Fail2ban supervisa sus archivos de registro en busca de intentos fallidos de autenticación o cualquier actividad sospechosa. Después de un número predefinido de intentos de autenticación fallidos, bloquea las direcciones IP de origen durante un período de tiempo específico. Por lo tanto, es eficaz para prevenir la intrusión antes de que comprometa su sistema.

¿Cómo comprobar el archivo de registro de Fail2ban?

Puede encontrar el archivo de registro de Fail2ban en el directorio /var/log/fail2ban. Para ver el archivo de registro, use el siguiente comando:

$ cat /var/log/fail2ban.log

Esta es la salida del comando anterior que muestra diferentes eventos, junto con la fecha y la hora en que ocurrieron.

Si nos centramos en las últimas cuatro líneas del resultado anterior, podemos ver dos entradas Encontradas que muestran dos intentos de conexión por una dirección IP de origen 192.168.72.186. Después del tercer intento, la IP de origen se bloqueó, como se muestra en la entrada Ban (como maxretry=2). Luego, la última entrada es Unban, que muestra que la dirección IP ha sido desbaneada después de 20 segundos (como bantime=20sec).

Nivel de registro

El nivel de registro indica el tipo y el grado de gravedad de un evento registrado. Hay diferentes niveles de registro en Fail2ban, estos son los siguientes:

  • CRÍTICO (Condiciones críticas; debe investigarse inmediatamente)

  • ERROR (Cuando algo sale mal pero no es crítico)

  • ADVERTENCIA (Eventos potencialmente dañinos)

  • AVISO (Condición normal pero significativa)

  • INFO (Mensajes informativos y pueden ser ignorados)

  • DEBUG (mensajes de nivel de depuración)

Los niveles de registro se definen en /etc/fail2ban/fail2ban.local. Para ver el nivel de registro actual, use el siguiente comando:

$ sudo fail2ban-client get loglevel

El siguiente resultado muestra que el nivel de registro actual de Fail2ban es INFO.

Cambiar el nivel de registro

Para cambiar el nivel de registro de Fail2ban, deberá editar su archivo de configuración global. El archivo de configuración de Fail2ban es fail2ban.conf en el directorio /etc/fail2ban. Sin embargo, se sugiere no editar este archivo directamente. En su lugar, si necesita realizar cambios en la configuración, cree el archivo fail2ban.local.

1. Si ya ha creado el archivo fail2ban.local, puede dejar este paso. Cree el archivo fail2ban.local usando este comando en la Terminal:

$ sudo cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local

2. Edite el archivo fail2ban.local usando el siguiente comando en la Terminal:

$ sudo nano /etc/fail2ban/fail2ban.local

3. Ahora, busque la entrada loglevel en el archivo fail2ban.local (puede usar Ctrl+w para encontrar cualquier entrada en el editor Nano). Luego cambie la entrada del nivel de registro al nivel de registro deseado. Por ejemplo, para establecer el nivel de registro en CRÍTICO, cambie su valor:

loglevel = CRITICAL

Luego, guarde y salga del archivo fail2ban.local.

4. Reinicie el servicio Fail2ban de la siguiente manera:

$ sudo systemctl restart fail2ban

5. Ahora, para confirmar si el nivel de registro ha cambiado al nivel deseado, use el siguiente comando:

$ sudo fail2ban-client get loglevel

Objetivo de registro

En el registro de Fail2ban, puede elegir dónde enviar los registros. Un destino de registro puede ser cualquier archivo, STDOUT, STDERR o SYSLOG. Sin embargo, solo puede especificar un destino de registro. De forma predeterminada, con Fail2banlogs, todos los eventos de registro están en un archivo /var/log/fail2ban.log. Para encontrar el objetivo de registro actual, use el siguiente comando:

$ sudo fail2ban-client get logtarget

El siguiente resultado muestra que el objetivo de registro actual es un archivo /var/log/fail2ban.log.

Cambio de objetivo de registro

Por lo general, no es necesario modificar el destino del registro. Sin embargo, en caso de que necesite modificarlo, puede hacerlo de la siguiente manera:

1. Para cambiar el destino del registro, edite fail2ban.local usando el siguiente comando en la Terminal.

$ sudo nano /etc/fail2ban/fail2ban.local

Si no se crea el archivo fail2ban.local, puede crearlo, como se muestra en la sección anterior Cambio de nivel de registro.

2. Ahora, busque la entrada logtarget en el archivo fail2ban.local. Puede usar Ctrl+w para encontrar cualquier entrada en el editor Nano.

3. Cambie la entrada logtarget al destino deseado, que puede ser cualquier archivo como STDOUT, STDERR o SYSLOG. Luego guarde y salga del archivo fail2ban.local.

4. Reinicie el servicio Fail2ban de la siguiente manera:

$ sudo systemctl restart fail2ban

5. Después de cambiar el destino del registro, puede confirmarlo usando el siguiente comando:

$ sudo fail2ban-client get logtarget

La salida ahora debería mostrar el nuevo objetivo de registro.

En esta publicación, ha aprendido cómo verificar los registros de Fail2ban. También aprendió sobre los niveles de registro y los objetivos de registro de Fail2ban, y cómo cambiarlos si alguna vez necesita hacerlo.