Květen 23, 2026Návody
Jak nainstalovat a nakonfigurovat Fail2ban na Linuxu
Chraňte VPS před útoky hrubou silou: instalace Fail2ban a pravidel pro SSH a Nginx.
Fail2ban sleduje logy a dočasně blokuje IP adresy při podezřelém chování — například opakovaných neúspěšných přihlášeních SSH. Je to jeden z prvních bezpečnostních nástrojů na novém VPS Hiddence.
Instalace Fail2ban
bash
# Ubuntu / Debian
sudo apt update
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
# CentOS / RHEL / Alma / Rocky
sudo yum install epel-release -y
sudo yum install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2banOchrana SSH
Vytvořte lokální konfiguraci (soubor jail.conf přímo neupravujte):
bash
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600
findtime = 600
sudo systemctl restart fail2banOchrana Nginx (volitelné)
Blokujte IP, které generují příliš mnoho chyb 404 nebo autentizace:
bash
[nginx-http-auth]
enabled = true
port = http,https
filter = nginx-http-auth
logpath = /var/log/nginx/error.log
maxretry = 5
[nginx-noscript]
enabled = true
port = http,https
filter = nginx-noscript
logpath = /var/log/nginx/access.log
maxretry = 6Kontrola zablokovaných IP
bash
sudo fail2ban-client status
sudo fail2ban-client status sshd
# Odblokování IP:
sudo fail2ban-client set sshd unbanip 1.2.3.4Doporučené postupy
- Používejte SSH klíče místo hesel
- Změňte výchozí SSH port jen spolu s pravidly firewallu
- V případě potřeby přidejte kancelářskou IP do ignoreip
- Pravidelně kontrolujte /var/log/fail2ban.log
- Kombinujte Fail2ban s UFW nebo Firewalld