Fail2ban richtig nutzen

Fail2ban richtig nutzen

Fail2ban ist ein nützliches und vorallem ein wichtiges Tools, um bösartige Angreifer zu erkenenn und diese auch gleich zu bannen.Wichtig zu wissen ist, dass fail2ban kein 100% schutz gegen DDos Attaken oder der gleichen ist. Fail2ban schaut in den Logs nach verdächtigen ausgaben und sperrt daraufhin die IP Adresse des Senders. Dabei kann die Dauer und das Muster selber bestimmt werden. Dabei wird das Sperren von IP Adressen mithilfe von iptables realisiert.

Installation

Um auf einem Server fail2ban zu installieren reicht es meistens aus, dass man dies über die Paketverwaltung apt-get installiert. Dazu reicht ein apt-get install fail2ban meistens aus. Nach der Installation befinden sich nun unter dem /etc/fail2ban Ordner das Konfigurationsverzeichnis /filder.d und das Konfigurationsfile jail.conf.

Filter erstellen

Meistens genügt es, die vorgeschriebenen Sectionen aus der jail.conf zu aktivieren. Dies geht mit dem einbetten der einzelnen Sectionen. Sollte dies jedoch mal nicht reichen, so kann fail2ban auch eigene geschriebene Regeln aufnehmen. Dazu einfach am Ende der Datei eine eigenen Section aufbauen.

Dies könnten z.b. so ausehen:

#
# Port Scan HTTP
#
[servicehhtp]
enabled	= true
port    = http
filter	= httpaction
logpath	= /var/log/http.log
maxretry = 3

Unter filter.d/ sollte man nun eine Datei mit folgendem Inhalt anlegen.

[Definition]

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Wrong password

 

Filterregeln prüfen

Mit dem Befehl fail2ban-regex /path/to/fail2ban.log /path/to/filder.d/fail2ban.conf kann man die eigenen regeln auf Verträglichkeit überprüfen.

Starten/Stoppen

Start: /etc/init.d/fail2ban start
Stop: /etc/init.d/fail2ban stop
Restart: /etc/init.d/fail2ban restart
Reload: /etc/init.d/fail2ban reload

Gesperrte Ip Adressen anzeigen

Will man die gesperrten IP Adressen anzeigen lassen, so kann man dies mithilfe des Iptables befehls iptbales -L -n realisieren.

Ähnliche Beiträge

Die Kommentare sind geschloßen.