+- Madgeeks Forum (https://forum.madgeeks.de)
+-- Forum: Anleitungen und Tutorials (https://forum.madgeeks.de/forumdisplay.php?fid=93)
+--- Forum: Linux (https://forum.madgeeks.de/forumdisplay.php?fid=95)
+--- Thema: fail2ban installieren und einrichten (/showthread.php?tid=5)
fail2ban installieren und einrichten - Towerplease - 13.08.2018
Hallo und Servus!
Heute möchte ich euch zeigen, wie Ihr mit fail2ban euren Server um einiges Sicherer macht. Fail2ban ist ein leichtgewichtiges Tool, das über die Login-Logs, nach gewissen Kriterien Anmelde-IPs aussperrt um Bots vor Bruteforceattacken zu hindern. In fail2ban könnt Ihr einstellen in welchem Zeitraum, nach wie vielen Fehlgeschlagenen Logins, wie Lange gesperrt werden soll. Fail2ban sperrt die IP-Adressen mit iptables aus, falls Ihr mehr zu iptables wissen möchtet, schaut doch mal hier: Link
Fail2ban bietet Standardsicherungsmechanismen für SSH, kann aber auch für viele andere Logins genutzt werden, z.B. ownCloud/nextCloud etc.
SSH-Logins werden in einem Log gespeichert (/var/log/auth.log), fail2ban wird anhand dieser Logeinträge die IP-Adresse Sperren und keine Verbindung von dieser IP-Adresse mehr zulassen.
Die Installation von fail2ban ist sehr einfach und geht schnell:
Code:
Code:
apt-get install fail2ban -yUm die Konfiguration an fail2ban vorzunehmen kopieren wir erst einmal die datei jail.conf zu jail.local, da jail.conf bei jedem Update überschrieben wird.
Code:
Code:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.localNun Bearbeiten wir die jail.local Datei mit:
Code:
Code:
nano /etc/fail2ban/jail.localIn der Datei können wir nun einige Einstellungen vornehmen, z.B. Bannzeit oder Zeit in der Fehlgeschlagene Loginversuche gesucht werden (findtime). Diese müsst Ihr nach euren Wünschen anpassen, selbst der Standard ist schon ein guter Schutz, da er gegenüber keiner Sicherung schon einmal >80 % aller Bots aussperrt. Diese Einstellungen gelten für die Allgemeinen Sperren.
Code:
Code:
[...]
[DEFAULT]
#
# MISCELLANEOUS OPTIONS
#
# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space (and/or comma) separator.
ignoreip = 127.0.0.1/8
# External command that will take an tagged arguments to ignore, e.g. <ip>,
# and return true if the IP is to be ignored. False otherwise.
#
# ignorecommand = /path/to/command <ip>
ignorecommand =
# "bantime" is the number of seconds that a host is banned.
bantime = 3600
# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600
# "maxretry" is the number of failures before a host get banned.
maxretry = 3
[...]Um die Sperre spezifisch auf unseren SSH Server auszurichten, müssen wir etwas nach unten Scrollen und diesen Teil anpassen:
Code:
Code:
[...]
#
# SSH servers
#
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 4
[...]Um die Datei zu Speichern, einfach einmal STRG+X -> y -> Enter.
Abschließend müssen wir den Dienst einmal neu starten, damit die geänderte Konfiguration geladen wird:
Code:
Code:
service fail2ban restartSchon Fertig!
fail2ban läuft als Dienst im Hintergrund ständig mit und Sperrt IP-Adressen, mit den Einstellungen in diesem Tutorial, den SSH-Login bei 4 (maxretry=4) Fehlgeschlagenen Loginversuchen Innerhalb von 10 Minuten (findtime=600) für 1 Stunde (bantime=3600) aus.
Bei Fragen oder Problem, gerne einen Kommentar da lassen! Ansonsten viel Erfolg beim Aussperren von Bruteforce-Bots!
Gruß Towerplease