Benutzer-Werkzeuge

Webseiten-Werkzeuge


linux:security:fail2ban

Fail2Ban

Um Bruteforce Attacken auf ssh oder ftp Servern Paroli zu bieten, empfiehlt sich unter anderem der Einsatz von fail2ban. Über die iptables sperrt fail2ban Quell-IPs, über die versucht wird, ein Passwort zu erraten. Je nach Konfiguration wird die IP nach einer bestimmten Anzahl von Fehlversuchen für eine gewisse Zeit gesperrt.

Installation

Ihr installiert fail2ban über

apt-get install fail2ban

Zudem falls noch nicht geschehen das Paket whois:

apt-get install whois

Als nächstes kopiert die Konfigurationsdatei jail.conf nach jail.local

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Danach kann die Datei jail.local editiert und auf die eigenen Bedürfnisse angepasst werden. Per default ist nur ssh „scharf“ geschaltet.

nano /etc/fail2ban/jail.local

Wenn Ihr Euch die Datei anseht, stehen bereits schon entsprechende Sections wie der proftp zur Verfügung. Um eine bestimmte Section zu aktivieren stellt im jeweiligen Bereich das

enabled = false

auf

enabled = true

Die Standart bantime (= die Zeit, die eine IP gesperrt ist) steht auf 600 Sekunden = 10 Minuten. Sollte ein besonderer Dienst länger gesperrt werden, schreibt in die Section bantime = XYZ XYZ in Sekunden

Der Wert maxretry gibt an, ab wieviel Fehlversuche gesperrt wird. 5 bis 6 Fehlversuche gehen in der Regel in Ordnung. Nach jeder Änderung muss fail2ban neu gestartet werden:

/etc/init.d/fail2ban restart

Der Wert ignoreip ist auch wichtig. Gebt hier die IP Eures Rechners ein, der keinesfalls gesperrt werden soll. Nichts schlimmeres, als wenn Eure eigene Maschine nicht mehr ran kann.

Mailversandt

Wer zudem sich den Luxus gönnen möchte, dass man per Mail verständigt wird, sobald ein Einbruchsversuch geblockt wurde, kann dies natürlich auch einrichten. Gebt dazu den Parameter destemail in der jail.local an: destemail = meine@email.adresse Als Standard MTA ist sendmail angegeben. Die heutigen Debianserver haben als Standard MTA den exim4 hinterlegt. Dieser funktioniert als Ersatz auch und es muss hier in der jail.local nichts umgebogen werden.

Um einen Smarthost zum Mailversand einzurichten siehe „Mails versenden mit ssmtp

Nach dem Einrichten des Smarthosts wird in der /etc/fail2ban/jail.local angegeben, dass auch E-Mails verschickt werden sollen. Ändert hierfür die Zeile

action = %(action_)s

in

action = %(action_mwl)s

Jetzt den fail2ban neu starten:

/etc/init.d/fail2ban restart

Nun sollte es nicht mehr lange dauern, bis Ihr eine Mail bekommt.

Die Logfile könnt Ihr an der Konsole mit einem

tail -f /var/log/fail2ban.log überwachen.

Zusäzliche Informationen

Filter lassen sich im folgenden Verzeichnis editieren bzw. hinzufügen:

/etc/fail2ban/filter.d

Fail2Ban lässt sich mit einem Blick auf iptables überprüfen:

iptables -L

Aus http://www.gargi.org/showthread.php?945-fail2ban-auf-Debian-installieren-und-konfigurieren

linux/security/fail2ban.txt · Zuletzt geändert: 2014/04/17 09:51 von Madic