Immer wieder wird ein Rootserver Ziel einer Attacke. Ob Spamer versuchen über den Server Mails zu versenden, der SSH Port angegriffen wird, es gibt sehr viele Angriffspunkte und diese müssen geschützt werden.
Ein Punkt ist das unterbinden von Bruteforce. Dazu muss iptables installiert und die Firewall beim booten aktiviert sein.
Dazu installiert man sich das Programm Fail2Ban wie folgt:
apt-get install fail2ban -y
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Anschliessend öffnet man die Datei /etc/fail2ban/jail.local und aktiviert die Dienste die man schützen möchte. Wenn man mein Debian Confixx HowTo verwendet hat für das Serversetup, dann sind folgende Zeilen zu aktivieren:
[ssh] enabled = true
[proftpd] enabled = true
[postfix] enabled = true
[sasl] enabled = true
Anschliessend muss man den Service nochmals neustarten mit:
/etc/init.d/fail2ban restart
Versucht anschliessend Jemand aus den Server zu connecten, dann wird seine IP für 5 Minuten auf den betroffenen Ports gesperrt. Einfach und schnell.
Hi,
super tutorial,konnte es zwar schon vorher,aber sehr gut erklärt.
Kann mich dich eigl auch irgendwie per eMail oder per ICQ erreichen ?
Mit Freundlichen Grüßen
Adrian.L
Über fail2ban hab ich auch schon mal etwas Kleines geschrieben: http://blog.root1024.ch/betriebssystem/linux/ssh-mit-fail2ban-absichern/
fail2ban ist wirklich einfach und schnell eingerichtet.
Gruss
Silvan
Genau nach so etwas habe ich in den letzten Tagen gesucht. Aktuell nutze ich DenyHosts, welches aber leider nur für den SSH-Dienst funktioniert.
Wie schaut es bei fail2ban aus? Funktioniert das auch auf einem VServer, wo man keinen Zugriff auf die iptables hat? Wird das Ganze über die hosts.deny geregelt?
man kann auswählen wie die user gebannt werden. Auch deine gewünschte Option ist möglich.
Perfekt, danke für den Tipp! Werde ich gleich mal einbauen und dann mal testen.
Obige Methode mit der original „jail.conf“ kann aber dazu führen, dass nach einem Upgrade die Konfiguration durcheinandergerät. Auszug aus der Originaldatei /etc/fail2ban/jail.conf (Lenny):
„To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local“
Auf der sicheren Seite dürfte man also sein wenn man die jail.conf nach jail.local kopiert und dann die jail.local editiert. Das sollte auch ein künftiges Upgrade überleben…
Man lernt nie aus, danke für den Input.