fail2ban auf einem Linux Server installieren

Nachdem wir ja schon Artikel zum Thema Minecraft auf einem Linux Server oder Linux Webserver einrichten hier auf dem Blog haben, gibt es heute mal wieder ein Tutorial womit ihr die Sicherheit eures Servers erhöhen könnt.

Ich will euch in diesem Artikel zeigen, wir ihr mit dem Tool fail2ban ssh Brute-Force Angriffe auf euren Server unterbinden könnt. Grundlage für diesen Artikel ist ein Debian Server.

Installation von fail2ban

Zu beginn, aktualisieren wir wieder unser System mit dem folgenden Befehl

Haben wir unser System auf einem aktuellen Stand, können wir mit dem folgenden Befehl fail2ban installieren.

Das wars schon. Wie man sieht ist die Installation sehr einfach.

Konfiguration von fail2ban

Die Konfigurationsdatei befinden sich alle in /etc/fail2ban/. Für uns ist erstmal nur die Datei jail.conf relevant. Diese öffnen wir nun mit einem Editor unserer Wahl, um ein paar Anpassungen vorzunehmen.

Bei ignoreip können wir alle IP Adressen hinterlegen, die fail2ban ignorieren soll. Hier kann neben der localhost IP (127.0.0.1) auch eure eigene IP Adresse hinterlegt sein, vorausgesetzt ihr habt eine fest zugewiesene IP Adresse.

Die bantime gibt an, wie lange eine IP Adresse geblockt sein soll. Diese Angabe ist in Sekunden. Standardmässig sind hier 10 Minuten eingestellt. Ich habe es bei mir schon mal auf 100 Minuten angepasst.

Als nächstes haben wir die Einträge findtime und maxretry.

Maxretry legt fest, wie viele Anmeldeversuche aktzeptiert werden. Findtime legt den Zeitraum fest, indem diese Anmeldeversuche stattfinden dürfen.

Die Einstellunge wie oben gezeigt heißt also, dass ich max. 3 versuche innerhalb von 10 Minuten erlaub sind. Versuche ich mich ein viertes mal Anzumelden, werde ich für 100 Minuten geblockt (bantime). Hier werden allerdings nur fehlgeschlagenen Anmeldeversuche gezählt. Wenn ich also ganz viele ssh Sessions aufbaue ohne mein Passwort einmal falsch einzugeben, wird fail2ban nicht anschlagen.

Das wären erstmal die wichtigsten Einstellungen, die man für seine Bedürfnisse anpassen kann. Unter /var/log/ wird auch eine Datei fail2ban.log angelegt. Dieser könnte ihr entnehmen, wann welche IP geblockt wurde.

Noch eine kleine Info am Rande. Fail2ban blockt IP Adressen, indem es eine Regel in das lokal iptables schreibt. Dadurch werden alle Anfragen der IP auf den Server geblockt.

 

About Christian Piazzi

Ich blogge hier über alles, was mir so in meinem ITler Altag über den Weg läuft =)
Man findet mich privat bei Google+ und Twitter

Speak Your Mind

*