Fail2Ban Debian HowTo

Stefan 10.11.2010 Programme, Server Kommentare

Immer wieder wird ein Rootserver Ziel einer Attacke. Ob Spamer versuchen über den Server Mails zu versenden, der SSH Port angegriffen wird, es gibt sehr viele Angriffspunkte und diese müssen geschützt werden.

Ein Punkt ist das unterbinden von Bruteforce. Dazu muss iptables installiert und die Firewall beim booten aktiviert sein.

Dazu installiert man sich das Programm Fail2Ban wie folgt:

apt-get install fail2ban -y
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Anschliessend öffnet man die Datei /etc/fail2ban/jail.local und aktiviert die Dienste die man schützen möchte. Wenn man mein Debian Confixx HowTo verwendet hat für das Serversetup, dann sind folgende Zeilen zu aktivieren:

[ssh] enabled = true
[proftpd] enabled = true
[postfix] enabled = true
[sasl] enabled = true

Anschliessend muss man den Service nochmals neustarten mit:

/etc/init.d/fail2ban restart

Versucht anschliessend Jemand aus den Server zu connecten, dann wird seine IP für 5 Minuten auf den betroffenen Ports gesperrt. Einfach und schnell.

Tags

About Stefan

Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf. Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

Nginx, PHP-FPM und Let’s Encrypt per Docker-Compose aufsetzen

Um einen LAMDA Server einfach aufzusetzen, wie in meinem Fall auf Amazon EC2, geht es …

Hibernate und Sleep nach Windows Update verschwunden

Windows hats mal wieder gemacht, ein grosses Update, was viele Voreinstellungen einfach wieder umändert nach …

7 Kommentare

  1. Adrian
    10.11.2010 von 18:57:01

    Hi,
    super tutorial,konnte es zwar schon vorher,aber sehr gut erklärt.

    Kann mich dich eigl auch irgendwie per eMail oder per ICQ erreichen ?

    Mit Freundlichen Grüßen
    Adrian.L

    Antworten
  2. Silvan
    10.11.2010 von 22:13:59

    Über fail2ban hab ich auch schon mal etwas Kleines geschrieben: http://blog.root1024.ch/betriebssystem/linux/ssh-mit-fail2ban-absichern/

    fail2ban ist wirklich einfach und schnell eingerichtet.

    Gruss
    Silvan

    Antworten
  3. Jeffrey
    13.11.2010 von 17:17:52

    Genau nach so etwas habe ich in den letzten Tagen gesucht. Aktuell nutze ich DenyHosts, welches aber leider nur für den SSH-Dienst funktioniert.

    Wie schaut es bei fail2ban aus? Funktioniert das auch auf einem VServer, wo man keinen Zugriff auf die iptables hat? Wird das Ganze über die hosts.deny geregelt?

    Antworten
  4. Jeffrey
    13.11.2010 von 18:53:37

    Perfekt, danke für den Tipp! Werde ich gleich mal einbauen und dann mal testen.

    Antworten
  5. linuxnetzer
    18.12.2010 von 11:41:51

    Obige Methode mit der original „jail.conf“ kann aber dazu führen, dass nach einem Upgrade die Konfiguration durcheinandergerät. Auszug aus der Originaldatei /etc/fail2ban/jail.conf (Lenny):

    „To avoid merges during upgrades DO NOT MODIFY THIS FILE
    # and rather provide your changes in /etc/fail2ban/jail.local“

    Auf der sicheren Seite dürfte man also sein wenn man die jail.conf nach jail.local kopiert und dann die jail.local editiert. Das sollte auch ein künftiges Upgrade überleben…

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

Kontakt | Impressum | Datenschutz
© Copyright 2021, All Rights Reserved