Comment débannir une adresse IP dans fail2ban
De nombreux outils de sécurité ne protègent pas votre système contre les compromis. Même la définition du mot de passe le plus fort ne résout pas le problème car il peut également être brisé avec plusieurs techniques. Fail2ban est un excellent outil qui vous permet d'interdire l'adresse IP qui fait des tentatives d'authentification incorrectes. Plutôt que de permettre à un utilisateur de faire des essais et de réussir, il les bloque en premier lieu. Par conséquent, il empêche les intrusions avant qu'elles ne comprennent votre système.
Lors de tentatives d'authentification incorrectes, fail2ban peut parfois également bloquer des connexions légitimes. Par défaut, le temps d'interdiction est de 10 minutes. Après 10 minutes, une adresse IP bannie est automatiquement débanni. Cependant, si un système légitime est banni et que vous ne pouvez pas attendre l'expiration du délai de bannissement, vous pouvez le débannir manuellement. Dans cet article, nous décrirons comment débannir une adresse IP dans fail2ban.
Arrière-plan:
Lorsqu'un utilisateur essaie de se connecter avec un mot de passe incorrect plus que spécifié par l'option maxretry dans le fichier /etc/fail2ban/jail.local, il est banni par fail2ban. En interdisant l'adresse IP du système, aucun utilisateur du système interdit ne peut utiliser le service interdit.
Voici le message d'erreur reçu par un utilisateur avec l'adresse IP "192.168.72.186" interdit par fail2ban. Il tentait de se connecter au serveur via SSH en utilisant des mots de passe incorrects.
Afficher les adresses IP interdites et les informations sur la prison
Pour savoir quelles adresses IP sont bannies et à quelle heure, vous pouvez consulter les logs du serveur sur lequel fail2ban est installé :
La sortie suivante montre que l'adresse IP "192.168.72.186" est interdite par fail2ban et est en prison nommée "sshd. ”
Vous pouvez également utiliser la commande suivante avec le nom de la prison pour afficher les IP interdites :
Par exemple, dans notre cas, l'adresse IP interdite est dans la prison « sshd », de sorte que la commande serait :
La sortie confirme que l'adresse IP "192.168.72.186" est en prison nommée "sshd. ”
Débannir une IP dans fail2ban
Pour débannir une adresse IP dans fail2ban et la retirer de la prison, utilisez la syntaxe suivante :
où "jail_name" est la prison où se trouve l'adresse IP interdite et "xxx.xxx.xxx.xxx" est l'adresse IP qui est interdite.
Par exemple, pour débannir une adresse IP « 192.168.72.186 », qui se trouve dans la prison « sshd », la commande serait :
Vérifiez si l'adresse IP a été débloquée
Maintenant, pour vérifier si l'adresse IP a été débannie, consultez les journaux à l'aide de la commande ci-dessous :
Dans les journaux, vous verrez une entrée Unban.
Ou vous pouvez également utiliser la commande suivante pour confirmer si l'adresse IP a été débannie :
Remplacez "jail_name" par le nom de la prison où se trouvait l'adresse IP interdite.
Si vous ne trouvez pas l'adresse IP répertoriée dans la liste des adresses IP interdites, cela signifie qu'elle a été annulée avec succès.
C'est ainsi que vous pouvez débannir une adresse IP dans fail2ban. Après avoir débloqué l'adresse IP, vous pouvez facilement vous connecter au serveur via SSH.