Maio 23, 2026Guias
Como instalar e configurar o Fail2ban no Linux
Proteja o VPS de ataques brute-force instalando o Fail2ban com jails para SSH e Nginx.
O Fail2ban monitoriza ficheiros de registo e bloqueia temporariamente endereços IP com comportamento malicioso, como tentativas SSH falhadas repetidas. É uma das primeiras ferramentas de segurança a instalar num VPS Hiddence novo.
Instalar o Fail2ban
bash
# Ubuntu / Debian
sudo apt update
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
# CentOS / RHEL / Alma / Rocky
sudo yum install epel-release -y
sudo yum install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2banProteger o SSH
Crie um ficheiro de configuração local (nunca edite jail.conf diretamente):
bash
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600
findtime = 600
sudo systemctl restart fail2banProteger o Nginx (opcional)
Bloqueie IPs que gerem demasiados erros 404 ou de autenticação:
bash
[nginx-http-auth]
enabled = true
port = http,https
filter = nginx-http-auth
logpath = /var/log/nginx/error.log
maxretry = 5
[nginx-noscript]
enabled = true
port = http,https
filter = nginx-noscript
logpath = /var/log/nginx/access.log
maxretry = 6Verificar IPs bloqueados
bash
sudo fail2ban-client status
sudo fail2ban-client status sshd
# Unban an IP if needed:
sudo fail2ban-client set sshd unbanip 1.2.3.4Boas práticas
- Use chaves SSH em vez de palavras-passe para reduzir a superfície de ataque
- Altere a porta SSH predefinida apenas juntamente com regras de firewall
- Inclua o IP do escritório em ignoreip do fail2ban se necessário
- Monitorize /var/log/fail2ban.log regularmente
- Combine Fail2ban com UFW ou Firewalld