Fail2Ban (Debian): Unterschied zwischen den Versionen

Aus MattWiki
Keine Bearbeitungszusammenfassung
Zeile 11: Zeile 11:


== Konfiguration ==
== Konfiguration ==
=== Erweiterung der Konfiguration ===
Konfigurationsfiles im Lieferumfang:
Konfigurationsfiles im Lieferumfang:
  /etc/fail2ban/fail2ban.conf
  /etc/fail2ban/fail2ban.conf
Zeile 23: Zeile 25:
Es muss darauf geachtet werden, dass die Dateien immer Abschnitte in Eckigen klammern haben.
Es muss darauf geachtet werden, dass die Dateien immer Abschnitte in Eckigen klammern haben.


Permanenter Ban wird umgesetzt indem man bantime auf einen negativen Wert setzt.
Permanenter Ban wird umgesetzt indem man bantime auf einen negativen Wert setzt, z.B. -1
 
=== Finetuning ===
Bei Fehlermeldungen im Log:
Dec 31 20:00:00 server sshd[23400]: Connection closed by xxx.xxx.xxx.xxx port xxxxx [preauth]
Erweiterung Parameter <code>failregex</code> in datei <code>/etc/fail2ban/filter.d/sshd.conf</code> um folgende Zeile:
^%(__prefix_line)sConnection closed by <HOST> port \d+ \[preauth\]$


== Fail2Ban manuell abfragen und steuern ==
== Fail2Ban Befehle ==


=== Status von Fail2Ban ===
=== Status abfragen ===
Status von Fail2Ban ausgeben:
Status von Fail2Ban ausgeben:
  fail2ban-client status
  fail2ban-client status

Version vom 17. Dezember 2017, 16:57 Uhr

Anleitung für Einrichtung von Fail2Ban in Debian.

Quellen:

http://www.fail2ban.org/wiki/index.php/Commands

https://wiki.ubuntuusers.de/fail2ban/

Installation

apt-get install fail2ban

Konfiguration

Erweiterung der Konfiguration

Konfigurationsfiles im Lieferumfang:

/etc/fail2ban/fail2ban.conf
/etc/fail2ban/jail.conf

Die o.g. Dateien sollten nicht angepasst werden, da sie beim nächsten Update evtl. wieder überschrieben werden.Stattdessen können folgende Dateien angelegt werden:

/etc/fail2ban/fail2ban.local
/etc/fail2ban/fail2ban.d/*
/etc/fail2ban/jail.local
/etc/fail2ban/jail.d/*

Für die Erstellung der .local-Dateien können als Vorlage die jeweiligen .conf-Dateien verwendet werden.

Es muss darauf geachtet werden, dass die Dateien immer Abschnitte in Eckigen klammern haben.

Permanenter Ban wird umgesetzt indem man bantime auf einen negativen Wert setzt, z.B. -1

Finetuning

Bei Fehlermeldungen im Log:

Dec 31 20:00:00 server sshd[23400]: Connection closed by xxx.xxx.xxx.xxx port xxxxx [preauth]

Erweiterung Parameter failregex in datei /etc/fail2ban/filter.d/sshd.conf um folgende Zeile:

^%(__prefix_line)sConnection closed by <HOST> port \d+ \[preauth\]$

Fail2Ban Befehle

Status abfragen

Status von Fail2Ban ausgeben:

fail2ban-client status

Status eines bestimmten jails, z. B. sshd, ausgeben inkl. der gesperrten IP-Adressen und einigen Statistiken, wie z.B. Anzahl der gesperrten Adressen:

fail2ban-client status sshd

Manuell Adressen hinzufügen

Beispiel, um manuell IP-Adressen zu bannen in den Jail SSHD:

fail2ban-client set sshd banip <IP>

.