add fail2ban tips

public/uk/social-oriented-vsftpd-server-setup.gmi

@@ -84,7 +84,31 @@ ps
 * `anonymous` - гостьовий псевдо-користувач, без нього анон не зможе підключитись!
 * `ps` - доданий користувач, інші облікові записи додаємо по одному на рядок
 
-Якщо не вказувати білий список, то на FTP сервері можна буде залогінитись будь яким системним користувачем, включно з таким, до якого не було вказано пароль. У цьому плані, варто звернути увагу на утиліту fail2ban, але захист від брутфорсу - це окрема історія.
+Якщо не вказувати білий список, то на FTP сервері можна буде залогінитись будь яким системним користувачем, включно з таким, до якого не було вказано пароль.
+
+### Блокування брутфорсу засобами fail2ban
+
+В контексті попереднього пункту, буде корисним поставити fail2ban - утиліту, яка блокуватиме клієнтський хост при введенні таким не правильної пари логін/пароль. Адже підбираючи пароль до користувачів `/etc/vsftpd.userlist` можна так само підібрати пароль до SSH (якщо 22 порт відкритий)
+
+``` bash
+apt install fail2ban
+```
+
+Підтримка vsftpd в fail2ban є з коробки, я тільки вручну додав опцію:
+
+``` /etc/fail2ban/jail.conf
+[vsftpd]
+# ..
+enabled = true
+```
+* тут можна вказати кастомний шлях журналу, якщо він у вас відрізняється
+
+Правила фільтрації для журналу vsftpd задаються у файлі:
+
+``` /etc/fail2ban/filter.d/vsftpd.conf
+#failregex = ..
+```
+* я лишив стандартні - в мене вони працюють
 
 ### Глобальна конфігурація vsftpd