Cómo desbanear una IP en fail2ban
Muchas de las herramientas de seguridad no protegen su sistema contra compromisos. Incluso establecer la contraseña más segura no resuelve el problema, ya que también se puede descifrar con varias técnicas. Fail2ban es una gran herramienta que le permite prohibir la dirección IP que está realizando intentos de autenticación incorrectos. En lugar de permitir que un usuario haga intentos y tenga éxito, lo bloquea en primer lugar. Por lo tanto, previene la intrusión antes de que comprendan su sistema.
Al realizar intentos de autenticación incorrectos, a veces fail2ban también puede bloquear conexiones legítimas. Por defecto, el tiempo de prohibición es de 10 minutos. Después de 10 minutos, una dirección IP prohibida se cancela automáticamente. Sin embargo, si un sistema legítimo está baneado y no puede esperar a que expire el tiempo de baneo, puede desbanearlo manualmente. En esta publicación, describiremos cómo desbanear una dirección IP en fail2ban.
Fondo:
Cuando un usuario intenta iniciar sesión con una contraseña incorrecta más de la especificada por la opción maxretry en el archivo /etc/fail2ban/jail.local, fail2ban lo prohíbe. Al prohibir la dirección IP del sistema, ningún usuario del sistema prohibido puede usar el servicio prohibido.
El siguiente es el mensaje de error recibido por un usuario con la dirección IP "192.168.72.186" prohibida por fail2ban. Estaba intentando iniciar sesión en el servidor a través de SSH usando las contraseñas incorrectas.
Ver la dirección IP prohibida y la información de la cárcel
Para saber qué direcciones IP están prohibidas y en qué momento, puede ver los registros del servidor donde está instalado fail2ban:
El siguiente resultado muestra que la dirección IP "192.168.72.186" está prohibida por fail2ban y está encarcelada con el nombre "sshd. ”
También puede usar el siguiente comando con el nombre de la cárcel para mostrar las IP prohibidas:
Por ejemplo, en nuestro caso, la dirección IP prohibida está en la cárcel “sshd”, por lo que el comando sería:
La salida confirma que la dirección IP "192.168.72.186" está en la cárcel llamada "sshd. ”
Desbanear una IP en fail2ban
Para desbanear una dirección IP en fail2ban y eliminarla de la cárcel, use la siguiente sintaxis:
donde "jail_name" es la cárcel donde se encuentra la dirección IP prohibida y "xxx.xxx.xxx.xxx" es la dirección IP prohibida.
Por ejemplo, para desbanear una dirección IP “192.168.72.186”, que está en la cárcel “sshd”, el comando sería:
Verifique si la dirección IP ha sido desbaneada
Ahora, para verificar si la dirección IP ha sido desbaneada, vea los registros usando el siguiente comando:
En los registros, verá una entrada Desbanear.
O también puede usar el siguiente comando para confirmar si la dirección IP ha sido desbaneada:
Reemplace "jail_name" con el nombre de la cárcel donde estaba la dirección IP prohibida.
Si no encuentra la dirección IP en la lista de IP prohibidas, significa que se ha desbaneado con éxito.
Así es como puede desbanear una dirección IP en fail2ban. Después de desbanear la dirección IP, puede iniciar sesión fácilmente en el servidor a través de SSH.