🤨 Крыса! Несколько дней подряд мой сервер обстреливали запросами с разных IP. Узнал я об этом совершенно случайно, когда зашёл через SSH по другой причине и решил посмотреть логи. И тут я просто выпал. Какой-то упёртый товарищ через веб-страницу долбил админку одного сервиса из трёх букв (название опустим, но суть поняли), пытаясь перебрать логины и пароли. Причём без капли стеснения он это делал с 30 запросами в секунду (108к запросов в час). Продолжалось это без остановки с 28 августа 04:09:44 по 2 сентября 12:33:35, а далее затишье. Я сразу решил, что так оставлять нельзя. Вечером того же дня поставил Fail2ban, прописал фильтр и подключил его к логам. И, как по заказу, атакующий снова вылез 2-го сентября в 23:07:56. Но на этот раз всё закончилось для него быстро и печально. Даже секунды не прошло, как IPS повязал ему ручонки (см. скриншот). Ну и я подумал, что из этого можно было бы выкатить простой гайд по установке и настройке Fail2ban. Fail2Ban – программа для защиты серверов от атак методом грубой силы. Если кому интересно, как настроить Fail2ban в пару кликов под X-UI (как в моём случае), держите гайд. ➡️1) Обновляем пакеты sudo apt update ➡️2) Устанавливаем Fail2ban sudo apt install fail2ban -y ➡️3) Проверяем установку — должно выдать версию Fail2ban fail2ban-client --version ➡️4) Запускаем сервис и смотрим статус sudo systemctl enable --now fail2ban sudo systemctl status fail2ban ➡️5) Fail2ban будет смотреть логи и искать неудачные попытки входа по фильтру. Создаем фильтр в "/etc/fail2ban/filter.d/x-ui.conf" [Definition] failregex = WARNING - wrong username: ".", password: ".", secret: ".*", IP: "<HOST>" ignoreregex = Вставляем как есть, ничего менять не надо. ➡️6) Создаём или редактируем "/etc/fail2ban/jail.local" [x-ui] enabled = true filter = x-ui logpath = /var/log/kern.log maxretry = 5 findtime = 600 bantime = 3600 action = iptables[name=x-ui, port=PORT, protocol=tcp] ignoreip = 127.0.0.1/8 YOUR_IP YOUR_VPN_IP Пояснение: logpath — файл с логами, куда пишутся предупреждения о неверно введённом логине/пароле. port=PORT — сетевой порт, к которому будет применяться правило блокировки IP через iptables. Здесь ставьте порт, на котором открывается форма авторизации в личный кабинет X-UI. maxretry = 5 — после 5+ провальных попыток выдаётся бан. findtime = 600 — считаем попытки за 10 минут. bantime = 3600 — бан на 1 час. ignoreip — добавляем сюда свой IP и VPN, чтобы случайно не заблокироваться. ➡️7) Перезагружаем службу Fail2ban sudo systemctl restart fail2ban ➡️8) Смотрим статус Fail2ban. Если запущен, значит ошибок нет и всё работает. Радуемся жизни sudo systemctl status fail2ban Теперь можно отслеживать статус Fail2ban, в котором в том числе пишется количество блокировок и какие именно IP-адреса были заблокированы: sudo fail2ban-client status x-ui Защищайте свои сервера и будьте здоровы! 😉 И не забудьте перевернуть календарь.