Anmelden
x
x
x
Registrieren
x

Downloads
Suche - SP Page Builder
Suche - Kategorien
Suche - Kontakte
Suche - Inhalt
Suche - Newsfeeds
Suche - Schlagwörter

fail2ban [SSH]

Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv
 
Inhaltsverzeichnis[Anzeigen]

Bei einigen neuen Distributionen wurde das IDS DenyHosts durch fail2ban ersetzt, DenyHosts befindet sich also nicht mehr in den Standardpaketen. fail2ban arbeitet mit IP Tables.

Das Entwicklerteam von Debian nennt folgende Gründe:

  • nicht gelöste Sicherheitsprobleme
  • keine neue Version (zuletzt 2008 upgedated)
  • fail2ban ist eine Alternative mit erweiterter Funktionalität

Daher wird empfohlen fail2ban zu verwenden, obwohl man natürlich manuell Denyhosts immer noch nachinstallieren könnte.

Das Programm durchsucht laufend die Log Dateien nach fehlgeschlagenen Logins. Sind bei einer IP Adresse auffallend viele falsche Login Versuche dabei, dann wird diese Adresse mittels IP Tables für eine bestimmte Zeit gesperrt. Zugriff von dieser IP Adresse ist dann nicht mehr möglich. Der Unterschied zu Denyhosts liegt darin, dass die Sperre nicht über die hosts.deny Datei funktioniert sondern über Firewallregeln.

Installation

Bei Debian ist die Installation sehr einfach, das Programm ist über den Paketmanager zu finden:

apt-get install fail2ban

Konfiguration

Nachdem die Installation recht einfach war, sollte man sich nun Gedanken zur Konfiguration der Software machen. fail2ban bietet dazu eine eigene Konfigurationsdatei an. Es wird empfohlen diese nicht direkt zu bearbeiten, sondern eine Kopie mit der Dateiendung .local zu erstellen, damit die Standardeinstellungen erhalten bleiben - im Falle eines Fehlers können diese so leicht zurückgesetzt werden.

Wir kopieren also die Konfigurationsdatei:

cd /etc/fail2ban
cp jail.conf jail.local

Im folgenden wird die jail.local Datei z.B. auf der Shell mit dem Editor Nano bearbeitet:

nano jail.local

Diese Datei ist sehr gut dokumentiert (in englischer Sprache) und man kann das Programm recht umfangreich einstellen. Die wichtigsten Parameter:

  • ignoreip
    hier werden IP Adressen und Netzbereiche angeben, die vom Programm nicht beachtet werden sollen.  Es macht Sinn die eigene IP Adresse (sofern statisch) dort einzutragen.
  • bantime
    die Zeit in Sekunden die eine IP Adresse gesperrt wird. Standard ist 600 Sekunden – empfehlenswert ist ein Wert von 86400, also ein ganzer Tag.
  • findtime und maxretry
    die beiden Werte spielen zusammen. Gesperrt wird eine IP Adresse, wenn von ihr aus innerhalb von findtime Sekunden maxretry Login Versuche fehlschlagen. Standardmäßig bedeutet das, dass in 10 Minuten 3 falsche Logins zugelassen werden. Es macht Sinn den Zeitwert etwas zu erhöhen, z.B. auf 3600 Sekunden.
  • destemail
    fail2ban sendet Informationen per Mail. Wenn man diese auf die eigene Adresse haben möchte, dann kann man diese dort eintragen.
  • action
    man kann bei der action einstellen was bei einer Sperrung passieren soll. Standardmäßig wird nur gesperrt. Man kann z.B. mit action_mw einstellen, dass man pro gesperrter IP Adresse eine Mail mit weiteren Informationen bekommt.

Dateien:
fail2ban 0.9.4
05.05.2019
Englisch
Linux

 

 

Wir bemühen uns, ihnen alle Informationen zu bieten, sichere und angenehme Zeiten im Internet zu verbringen. Dazu gehören neben grundsätzlichen Tipps vor allem Hinweise zum richtigen Umgang mit diesem für viele neuen Medium.

KURZ URL

Oft ist eine URL lang und nur sehr schwer zu merken (z.B. Downloads). Mit dem Short URL Service erstellt man schnell eine einprägsame und aussagekräftige URL mit vielen Extras!

HAL9k btnFly2 ShortURL

HTACCESS GENERATOR

Eine korrekte .htaccess von Hand zu erstellen ist recht mühsam und zeitaufwendig. Mit dem .htaccess Generator lässt sich diese Aufgabe schnell und zuverlässig online erledigen!

HAL9k btn.htaccess Generator