seeseekey.net - Invictus Deus Ex Machina

Betreibt man einen Server, so wird man mit der Zeit feststellen, das man nicht der einzige ist, der gerne Zugriff auf den Server hätte. Um zu häufige Loginversuche abzublocken gibt es Fail2ban. Dieses Programmpaket durchsucht die entsprechenden Logs und blockiert böswillige Versuche in das System einzubrechen. Damit gehört Fail2ban zu den Intrusion Prevention Systemen. Die Installation auf einem Ubuntu-Server geht dabei leicht von der Hand:

apt-get install fail2ban

Anschließend kann mit der Konfiguration begonnen werden:

nano /etc/fail2ban/jail.conf

In den ersten Einstellungen unter “[DEFAULT]” findet man die Zeit (in Sekunden) welche angibt wie lange ein Angreifer geblockt werden soll. Standardmäßig sind dies 10 Minuten respektive 600 Sekunden. Im Bereich “[JAILS]” kann Fail2ban nun für bestimmte Dienste aktiviert werden, indem der Wert bei “enabled” auf “true” gesetzt wird. Selbstverständlich ist es auch möglich eigene Jails zu definieren. Alle vorgefertigten Filterregeln findet man unter “/etc/fail2ban/filter.d”. Die Überwachung des SSH Dienstes ist dabei standardmäßig aktiviert. Nach der Anpassung der Konfiguration, sollte der Dienst mittels

service fail2ban restart

neugestartet werden. Das Log in welchem alle Fail2ban Aktionen verzeichnet sind, ist unter “/var/log/fail2ban.log” zu finden.

Weitere Informationen gibt es unter:
http://cup.wpcoder.de/fail2ban-ip-firewall/

6 Kommentare

  1. Naja verhindern. :/

    Ich setze da eher auf zwei andere Methoden: Zum einen habe ich den SSH-Port geändert. Zum anderen erlaube ich nur noch Verbindungen per Publickey Authentifizierung. Da kommt ein potentieller Angreifer gar nicht erst in die Verlegenheit irgendwelche Passwörter durchzuprobieren.

    Antworten

    • Von verhindern steht im Text nichts. Fail2ban funktioniert auch bei Publickey Authentifizierung – außerdem arbeitet das System auch mit anderen Diensten wie Dovecot, Postfix, Apache und weiteren zusammen – sprich es ist keine auf SSH begrenzte Lösung.

      Antworten

  2. Die /etc/fail2ban.conf läuft allerdings Gefahr bei einem Update überschrieben zu werden (wird dir eine kurze suchmaschinensuche bestätigen). Besser ist es, eine Datei:

    /etc/fail2ban/jail.local

    anzulegen und hier die Config anzulegen. Diese Datei wird bei einem Update nicht angetastet. Ein bisschen mehr Info auch hier:

    http://netz10.de/2011/02/16/fail2ban/

    Antworten

    • Ja der Gefahr bin ich mir bewusst, allerdings sollte das Paketmanagement nachfragen, wenn eine bestehende Konfigurationsdatei überschrieben werden soll.

      Antworten

  3. @seeseekey – Das tut es auch.

    Antworten

  4. jail.local benutzen und nicht in der .conf editieren.

    Antworten

Schreibe einen Kommentar

You have to agree to the comment policy.