fail2ban Installation und Konfiguration

Was ist fail2ban?

In der deutschen FAQ wird diese Frage wie folgt beantwortet:

Fail2Ban durchsucht Logdateien wie /var/log/pwdfail oder /var/log/apache/error_log und blockt IP-Adressen, die zu viele fehlgeschlagene Loginversuche haben. Es aktualisiert Firewallregeln, um diese IP-Adressen zu sperren. Fail2Ban kann mehrere Logfiles lesen – beispielsweise die von sshd oder apache. Die IP-Adressen werden nach einer vorher festgelegten Zeitspanne wieder aktiviert.

Vielleicht sind bereits Log-Einträge aufgefallen, bei denen von der gleichen IP-Adresse ausgehend der SSH penetriert wird:

Hierbei ist xxxxx die angegriffene Maschine und xxx.xxx.xxx.xxx die IP des Angreifers. Fail2ban durchsucht nun jene Log-Files und sperrt per Firewall-Regel den den Agreifer für eine definierbare zeit aus.

Installation

Das Paket wird mittels apt-get installiert.

 Konfiguration

Allgemein

Ich nutze Debian, hier liegen die Konfigurationsdateien unter /etc/fail2ban. Anzupassen ist hier die Datei /etc/fail2ban/jail.conf. Da fail2ban in den meisten Fällen bereits out-of-the-box läuft, möchte ich nur einige interessante Parameter aufführen:

Mit ignoreip können (eigene) IP’s definiert werden, welche nicht gesperrt werden sollen. Bantime gibt an, wie lange eine Sperrung erfolgen soll, der Wert wird hier in Sekunden angegeben, ich habe mich für einen ganzen Tag entschieden. Maxretry gibt die Standardeinstellung an, wie viele Verbindungsversuche erlaubt sind, bis es zur Sperrung kommt.

Mail

Fail2ban bietet die Möglichkeit, seine Tätigkeit per Mail zu protokollieren. Der Benutzer ann wählen, wohin gemailt werden soll und mit welcher Detailtiefe. Die Mailadresse wird unter destmail angegeben, action gibt die Detailtiefe an.

Mit dieser Einstellung wird ein detailliertes Protokoll an <Ihre@Mailadresse> versandt. Ein Auszug aus der Konfigurationsdatei zeigt weitere Einstellungsmöglichkeiten:

ssh

Die bereits angesprochene Standardeinstellung maxretry kann für jeden konfigurierten Dienst individuell überschrieben werden, ich verwende auch hier 2.

fail2ban starten

Damit die Änderungen aktiv werden, wird der Dienst einfach neugestartet

Beachten Sie danach einfach die Logs und die Mails unter der eingestellten Mailadresse.

Willkommen auf meinem Blog

Herzlich Willkommen!

I proudly present my first blog! Nachdem ich nun WordPress, welches – ich möchte an dieser Stelle den zahlreichen Webangeboten, die ich in den letzten Stunden gelesen habe, Glauben schenken – das beste Blog-System schlechthin ist, ohne  größere Hürden installieren konnte, fülle ich meinen Blog aktuell mit erstem Leben.

Über konkrete Inhalte habe ich mir noch keine Gedanken gemacht. Zunächst möchte ich das Grundsystem nach meinen Wünschen gestalten, danach wende ich mich dem Inhalt zu. Unter Grundsystem stelle ich mir zum Einen die techchnischen Merkmale wie Installation, Konfiguration und Plugins vor, zum Anderen steht hier die Aufgabe Layout und Design im Fokus.

Wer bin ich?

Allem voraus nutze ich jedoch die Gelegenheit, mich und die Beweggründe meines Blogs vorzustellen. Mein Name ist Stefan Kraus, ich bin als Berater und Projektleiter in einem Softwareunternehmen angestellt und betreibe krausix.de in meiner Freizeit.

Wer sind Sie?

… oder wer ist hier gelandet? Sie sind Berater, Projektleiter, Entwickler, ein Freund, ein Bekannter, ein Intellektueller oder ganz jemand anderes. Jeder ist hier willkommen. Wer immer Sie sind, fest steht nur eins: die Antwort darauf kennen Sie selbst am besten.

Was gibt es hier und warum?

Die einfachere Frage nach dem warum ist schnell beantwortet. Es ist eine Mischung aus Spaß an neuen Herausforderungen und der Neugier auf das resultierende Ergebnis.

Wie oft gibt es Neues?

Regelmäßige Beiträge im Sinne von stündlich, täglich oder wöchentlich kann und will ich nicht versprechen. Klar ist aber auch, dass dies keine Totgeburt sein soll. Lassen wir uns überraschen.

In diesem Sinne wünsche ich Ihnen wie auch mir zukünftig viel Spaß auf krausix.de!