Mayo 23, 2026Guías
Cómo instalar y configurar Fail2ban en Linux
Proteja su VPS de ataques de fuerza bruta instalando Fail2ban con jails para SSH y Nginx.
Fail2ban supervisa los archivos de registro y bloquea temporalmente las direcciones IP que muestran comportamiento malicioso, como intentos fallidos repetidos de inicio de sesión SSH. Es una de las primeras herramientas de seguridad que debe instalar en un VPS Hiddence nuevo.
Instalación de Fail2ban
bash
# Ubuntu / Debian
sudo apt update
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
# CentOS / RHEL / Alma / Rocky
sudo yum install epel-release -y
sudo yum install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2banProteger SSH
Cree un archivo de configuración local (nunca edite jail.conf directamente):
bash
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600
findtime = 600
sudo systemctl restart fail2banProteger Nginx (opcional)
Bloquee IPs que generen demasiados errores 404 o de autenticación:
bash
[nginx-http-auth]
enabled = true
port = http,https
filter = nginx-http-auth
logpath = /var/log/nginx/error.log
maxretry = 5
[nginx-noscript]
enabled = true
port = http,https
filter = nginx-noscript
logpath = /var/log/nginx/access.log
maxretry = 6Comprobar IPs bloqueadas
bash
sudo fail2ban-client status
sudo fail2ban-client status sshd
# Unban an IP if needed:
sudo fail2ban-client set sshd unbanip 1.2.3.4Buenas prácticas
- Use claves SSH en lugar de contraseñas para reducir la superficie de ataque
- Cambie el puerto SSH predeterminado solo junto con reglas de firewall
- Incluya la IP de su oficina en ignoreip de fail2ban si es necesario
- Supervise /var/log/fail2ban.log con regularidad
- Combine Fail2ban con UFW o Firewalld