Installation Fail2Ban

Aus Qloc Wiki
Wechseln zu: Navigation, Suche

Dieser Artikel beschreibt die Installation und Konfiguration von Fail2Ban unter Debian & Ubuntu. Fail2Ban beobachtet kontinuierlich die Logfiles der eingestellten Dienste und bannt eine IP, wenn Sie die zuvor eingestellten Kriterien erfüllt. Versucht sich beispielsweise jemand mit Ihrem Server per SSH zu verbinden und gibt dreimal das falsche Kennwort ein, so wird dieser, wenn Sie Fail2Ban entsprechend konfiguriert haben, für eine bestimmte Zeit gesperrt und ist nicht mehr in der Lage sich einzuloggen.

Installation

Die Installation von Fail2Ban ist einfach zu handhaben. Führen Sie dazu den folgenden Befehl aus:

apt-get -y install fail2ban

Konfiguration

Nachdem Sie Fail2Ban installiert haben, müssen Sie zunächst ein paar grundlegende Einstellungen in der Konfigurartionsdatei /etc/fail2ban/jail.conf vornehmen. Öffnen Sie diese Datei mit einem beliebigen Editor wie nano:

nano /etc/fail2ban/jail.conf

Wenn Sie nun etwas herunterscrollen, sehen Sie die Parameter "bantime", "findtime" und "maxretry". Diese drei Parameter legen fest, wie lange ein Client gebannt bleiben soll und in welchem Zeitfenster er wie viele Versuche hat, um sich in einen Dienst einzuloggen.

E-Mail Benachrichtigung

Im weiteren Verlauf der Konfigurationsdatei finden Sie die Parameter "destemail" und "'sender'". Falls gewünscht können Sie mit diesen Parametern eine Absenderadresse und eine Empfängeradresse festlegen, an die etwaige E-Mailbenachrichtigungen versandt werden.

Weiter unten finden Sie den Parameter "action = %(action_)s". Dieser legt fest, ob E-Mail Benachrichtigungen in einem bestimmten Umfang (z.B. mit einem WHOIS-Lookup) versandt werden oder nicht. In den Klammern können Sie folgende Werte einsetzen:

action_ = keine E-Mail Benachrichtigung ( Standard )
action_mw = E-Mail Benachrichtigung inkl. IP WHOIS-Lookup
action_mwl = E-Mail Benachrichtigung inkl. IP WHOIS-Lookup und Logdatei Inhalt

Dienste

Je nachdem, welche Dienste und Server Sie auf Ihrem Server installiert haben, können Sie im weiteren Teil der Konfiguration diese auskommentieren. Zum Schutz des SSH Servers vor SSH Bruteforce Attacken, aktivieren Sie die Filter "ssh" und "ssh-ddos":

[ssh]

enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 2


[ssh-ddos]

enabled  = true
port     = ssh
filter   = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 2

Hinweis: sollte der SSH Port geändert worden sein, so ändern Sie in der Fail2ban Config den Port von "ssh" in Ihren SSH Port! Verfahren Sie so für die restlichen Abschnitte der Konfiguration, bis Sie alle Dienste eingerichtet haben. Abschließend müssen Sie Fail2Ban neustarten, um die Änderungen an der Konfiguration zu übernehmen:

service fail2ban restart