This forum uses cookies
This forum makes use of cookies to store your login information if you are registered, and your last visit if you are not. Cookies are small text documents stored on your computer; the cookies set by this forum can only be used on this website and pose no security risk. Cookies on this forum also track the specific topics you have read and when you last read them. Please confirm whether you accept or reject these cookies being set.

A cookie will be stored in your browser regardless of choice to prevent you being asked this question again. You will be able to change your cookie settings at any time using the link in the footer.

Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
fail2ban installieren und einrichten
#1
Hallo und Servus!

Heute möchte ich euch zeigen, wie Ihr mit fail2ban euren Server um einiges Sicherer macht. Fail2ban ist ein leichtgewichtiges Tool, das über die Login-Logs, nach gewissen Kriterien Anmelde-IPs aussperrt um Bots vor Bruteforceattacken zu hindern. In fail2ban könnt Ihr einstellen in welchem Zeitraum, nach wie vielen Fehlgeschlagenen Logins, wie Lange gesperrt werden soll. Fail2ban sperrt die IP-Adressen mit iptables aus, falls Ihr mehr zu iptables wissen möchtet, schaut doch mal hier: Link

Fail2ban bietet Standardsicherungsmechanismen für SSH, kann aber auch für viele andere Logins genutzt werden, z.B. ownCloud/nextCloud etc.

SSH-Logins werden in einem Log gespeichert (/var/log/auth.log), fail2ban wird anhand dieser Logeinträge die IP-Adresse Sperren und keine Verbindung von dieser IP-Adresse mehr zulassen.

Die Installation von fail2ban ist sehr einfach und geht schnell:
Code:

Code:
apt-get install fail2ban -y

Um die Konfiguration an fail2ban vorzunehmen kopieren wir erst einmal die datei jail.conf zu jail.local, da jail.conf bei jedem Update überschrieben wird.
Code:

Code:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Nun Bearbeiten wir die jail.local Datei mit:
Code:

Code:
nano /etc/fail2ban/jail.local

In der Datei können wir nun einige Einstellungen vornehmen, z.B. Bannzeit oder Zeit in der Fehlgeschlagene Loginversuche gesucht werden (findtime). Diese müsst Ihr nach euren Wünschen anpassen, selbst der Standard ist schon ein guter Schutz, da er gegenüber keiner Sicherung schon einmal >80 % aller Bots aussperrt. Diese Einstellungen gelten für die Allgemeinen Sperren.
Code:

Code:
[...]
[DEFAULT]

#
# MISCELLANEOUS OPTIONS
#

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space (and/or comma) separator.
ignoreip = 127.0.0.1/8

# External command that will take an tagged arguments to ignore, e.g. <ip>,
# and return true if the IP is to be ignored. False otherwise.
#
# ignorecommand = /path/to/command <ip>
ignorecommand =

# "bantime" is the number of seconds that a host is banned.
bantime  = 3600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime  = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3
[...]

Um die Sperre spezifisch auf unseren SSH Server auszurichten, müssen wir etwas nach unten Scrollen und diesen Teil anpassen:
Code:

Code:
[...]
#
# SSH servers
#

[sshd]

enabled    = true
port    = ssh
filter    = sshd
logpath    = /var/log/auth.log
maxretry = 4
[...]

Um die Datei zu Speichern, einfach einmal STRG+X -> y -> Enter.

Abschließend müssen wir den Dienst einmal neu starten, damit die geänderte Konfiguration geladen wird:
Code:

Code:
service fail2ban restart

Schon Fertig!

fail2ban läuft als Dienst im Hintergrund ständig mit und Sperrt IP-Adressen, mit den Einstellungen in diesem Tutorial, den SSH-Login bei 4 (maxretry=4) Fehlgeschlagenen Loginversuchen Innerhalb von 10 Minuten (findtime=600) für 1 Stunde (bantime=3600) aus.


Bei Fragen oder Problem, gerne einen Kommentar da lassen! Ansonsten viel Erfolg beim Aussperren von Bruteforce-Bots!

Gruß Towerplease
Zitieren


Nachrichten in diesem Thema
fail2ban installieren und einrichten - von Towerplease - 13.08.2018, 10:01

Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste