Fail2Ban (Debian): Unterschied zwischen den Versionen
Matt (Diskussion | Beiträge) |
Matt (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 11: | Zeile 11: | ||
== Konfiguration == | == Konfiguration == | ||
=== Erweiterung der Konfiguration === | |||
Konfigurationsfiles im Lieferumfang: | Konfigurationsfiles im Lieferumfang: | ||
/etc/fail2ban/fail2ban.conf | /etc/fail2ban/fail2ban.conf | ||
| Zeile 23: | Zeile 25: | ||
Es muss darauf geachtet werden, dass die Dateien immer Abschnitte in Eckigen klammern haben. | Es muss darauf geachtet werden, dass die Dateien immer Abschnitte in Eckigen klammern haben. | ||
Permanenter Ban wird umgesetzt indem man bantime auf einen negativen Wert setzt. | Permanenter Ban wird umgesetzt indem man bantime auf einen negativen Wert setzt, z.B. -1 | ||
=== Finetuning === | |||
Bei Fehlermeldungen im Log: | |||
Dec 31 20:00:00 server sshd[23400]: Connection closed by xxx.xxx.xxx.xxx port xxxxx [preauth] | |||
Erweiterung Parameter <code>failregex</code> in datei <code>/etc/fail2ban/filter.d/sshd.conf</code> um folgende Zeile: | |||
^%(__prefix_line)sConnection closed by <HOST> port \d+ \[preauth\]$ | |||
== Fail2Ban | == Fail2Ban Befehle == | ||
=== Status | === Status abfragen === | ||
Status von Fail2Ban ausgeben: | Status von Fail2Ban ausgeben: | ||
fail2ban-client status | fail2ban-client status | ||
Version vom 17. Dezember 2017, 16:57 Uhr
Anleitung für Einrichtung von Fail2Ban in Debian.
Quellen:
http://www.fail2ban.org/wiki/index.php/Commands
https://wiki.ubuntuusers.de/fail2ban/
Installation
apt-get install fail2ban
Konfiguration
Erweiterung der Konfiguration
Konfigurationsfiles im Lieferumfang:
/etc/fail2ban/fail2ban.conf /etc/fail2ban/jail.conf
Die o.g. Dateien sollten nicht angepasst werden, da sie beim nächsten Update evtl. wieder überschrieben werden.Stattdessen können folgende Dateien angelegt werden:
/etc/fail2ban/fail2ban.local /etc/fail2ban/fail2ban.d/* /etc/fail2ban/jail.local /etc/fail2ban/jail.d/*
Für die Erstellung der .local-Dateien können als Vorlage die jeweiligen .conf-Dateien verwendet werden.
Es muss darauf geachtet werden, dass die Dateien immer Abschnitte in Eckigen klammern haben.
Permanenter Ban wird umgesetzt indem man bantime auf einen negativen Wert setzt, z.B. -1
Finetuning
Bei Fehlermeldungen im Log:
Dec 31 20:00:00 server sshd[23400]: Connection closed by xxx.xxx.xxx.xxx port xxxxx [preauth]
Erweiterung Parameter failregex in datei /etc/fail2ban/filter.d/sshd.conf um folgende Zeile:
^%(__prefix_line)sConnection closed by <HOST> port \d+ \[preauth\]$
Fail2Ban Befehle
Status abfragen
Status von Fail2Ban ausgeben:
fail2ban-client status
Status eines bestimmten jails, z. B. sshd, ausgeben inkl. der gesperrten IP-Adressen und einigen Statistiken, wie z.B. Anzahl der gesperrten Adressen:
fail2ban-client status sshd
Manuell Adressen hinzufügen
Beispiel, um manuell IP-Adressen zu bannen in den Jail SSHD:
fail2ban-client set sshd banip <IP>
.
