Fail2ban para proteger o SSH da VPS
Seu SSH recebe milhares de tentativas de invasão por dia. O Fail2ban lê os logs, identifica quem erra a senha várias vezes e bane o IP sozinho. Veja como configurar.
O que o Fail2ban faz
Todo servidor exposto recebe uma enxurrada de tentativas de login automáticas. O Fail2ban observa os registros, percebe um padrão de falhas do mesmo IP e o bloqueia no firewall por um tempo. É a forma mais simples de calar os bots que martelam o seu SSH dia e noite. Funciona melhor ao lado de login por chave.
Instalar e ativar
- Instale o pacote fail2ban pelo gerenciador da distribuição.
- Confirme que o serviço está ativo e habilitado no boot.
- Verifique o status para ver as jails ativas.
Não edite o arquivo de configuração padrão diretamente. Atualizações do pacote podem sobrescrever suas mudanças. Use sempre um arquivo local separado.
Configurar a jail
Crie um jail.local e ative a jail do SSH. Nele você define quantas tentativas tolerar, em quanto tempo e por quanto banir. Não esqueça de liberar o seu próprio endereço para não se trancar para fora.
Se a sua VPS já usa firewall UFW, o Fail2ban se integra bem com ele. Veja firewall UFW em VPS Ubuntu.
Parâmetros importantes
| Parâmetro | O que controla |
|---|---|
| maxretry | Quantas falhas antes de banir |
| findtime | Janela de tempo para contar as falhas |
| bantime | Quanto tempo o IP fica banido |
| ignoreip | Endereços que nunca são banidos |
Defesa em camadas
- Login por chave SSH ativo
- Login do root desativado
- Firewall liberando só as portas necessárias
- Fail2ban banindo reincidentes automaticamente
Segurança boa é feita de camadas que se reforçam. Junte tudo seguindo o guia de SSH seguro. Para projetos que precisam de hardware dedicado e proteção de rede, conheça os servidores dedicados.
Perguntas frequentes
- O Fail2ban substitui a chave SSH?
- Não. Eles se complementam. A chave elimina a adivinhação de senha e o Fail2ban bane quem insiste em tentar. Usar os dois junto dá uma proteção bem mais forte que cada um isolado.
- O que é uma jail?
- Jail é um conjunto de regras que diz qual serviço monitorar, quantas falhas tolerar e por quanto tempo banir. A jail do SSH observa o log de autenticação e age quando alguém erra demais.
- Posso banir a mim mesmo sem querer?
- Pode, se errar a própria senha várias vezes. Por isso, adicione seu IP fixo na lista de ignorados. Se não tem IP fixo, mantenha o login por chave para não depender de senha.
- Quanto tempo devo banir um IP?
- Depende do seu apetite a risco. Alguns minutos já frustram a maioria dos bots. Banimentos longos ou permanentes para reincidentes reduzem o ruído, mas exigem cuidado para não bloquear usuários legítimos.
Próximo passo
Ver planos VPS
VPS root no Brasil com NVMe e AntiDDoS.
Guias relacionados
SSH seguro em VPS Linux: chaves, senhas, fail2ban e hábitos que evitam invasão
SSH costuma ser o primeiro alvo em qualquer VPS com IP público. Este guia mostra um fluxo prático para reduzir risco sem complicar a rotina: chave ED25519, login sem senha, acesso administrativo com sudo, bloqueio de tentativas automáticas e revisão periódica de chaves autorizadas.
Firewall UFW em VPS Ubuntu: regras seguras sem travar o servidor
UFW facilita a configuração de firewall no Ubuntu, mas a ordem das regras continua sendo decisiva. Este guia mostra como ativar sem perder acesso SSH, como liberar apenas o necessário e como revisar regras quando Docker e serviços web entram em cena.
Como configurar chave SSH sem senha na VPS
Login por chave é mais seguro e mais cômodo que senha. Você gera um par de chaves, envia a pública para o servidor e entra sem digitar nada. Veja como em poucos passos.