====== Fail2ban ======

**Перевірка загального статусу та списку "в'язниць" (jails):**
<code>
sudo fail2ban-client status

</code>

**Детальна статистика по SSH:** Ця команда покаже кількість заблокованих IP-адрес зараз та загальну кількість блокувань з моменту запуску служби.

Bash

<code>
sudo fail2ban-client status sshd

</code>

**На що дивитися:**

   * ''Currently banned'': скільки атакувальників у "бані" прямо зараз.
  * ''Total banned'': скільки разів Fail2Ban спрацьовував (це число може бути великим). **Перегляд логів Fail2Ban (історія блокувань):**  Щоб побачити хронологію, кого і коли було заблоковано:
<code>
tail -f /var/log/fail2ban.log

</code>

//Натисніть ''Ctrl+C'', щоб вийти.//

Щоб **порахувати кількість банів**  за весь час існування лог-файлу:

<code>
grep "Ban " /var/log/fail2ban.log | wc -l

</code>

==== 2. Перевірка системних логів (ручний пошук атак) ====

Навіть якщо Fail2Ban не стоїть, система записує кожну невдалу спробу входу.

  * Для Ubuntu/Debian: ''/var/log/auth.log''
  * Для CentOS/RHEL: ''/var/log/secure''

**Як подивитися кількість невдалих спроб входу (brute-force):**
<code>

grep "Failed password" /var/log/auth.log | wc -l

</code>

//Якщо ви бачите тисячі записів, це означає, що боти активно намагаються підібрати пароль.//

**Хто намагається увійти (топ IP-адрес атакувальників):**  Ця команда виведе список IP, які найчастіше помилялися паролем:
<code>

grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr | head -10

</code>