Thema: (Debian) Fail2ban Installation

Wichtiges über fail2ban

Viele Benutzer müssen einfach auf den Rechner zugreifen können. Leider können dann auch Angreifer sehr einfach in das System einbrechen, indem sie einfach solange Kombinationen aus Benutzername/Passwort ausprobieren, bis sie ein passendes Paar gefunden haben. Das Programm fail2ban verhindert genau dieses "ausprobieren". Es untersucht die Logfiles des Systems nach fehlgeschlagenen Loginversuchen und sperrt dann die Internetadresse (IP) des Angreifers für eine gewisse Zeit. Es kann sowohl im Hintergrund (als Dämon) als auch im Vordergrund laufen
PS: Fail2ban (unstabe) für Sarge gibt es noch keine Stable - Version


Installationsvorbereitung

Als erstes müsst ihr die Datei

Code:

 sources.list

im Ordner

Code:

/etc/apt/

öffnen und
folgende Zeilen hinzufügen

Code:

deb     http://ftp.de.debian.org/debian etch main 
deb-src http://ftp.de.debian.org/debian etch main 
deb     http://security.debian.org/ etch/updates main 
deb-src http://security.debian.org/ etch/updates main

Diese 4 Zeilen ermöglichen es euch unstabe (etch) Pakete zu downloaden und zu installieren.
Danach müsst ihr noch ein

Code:

apt-get update

durchführen
um anschließend fail2ban mit

Code:

apt-get -t unstable install fail2ban

zu installieren.
Die Konfiguration

das Konfigurationsfile liegt im ordner

Code:

/etc/

mit dem Namen

Code:

 fail2ban.conf

in dieser Datei könnt ihr festlegen bei wieviel Versuchen geblockt/gebannt wird (beste und sicherste wäre natürlich 1 aber schnell hat man sich selber ausgesperrt daher lieber die 2 wählen)und wielange der bann bestehen bleibt standard sind 600 Sekunden
Nachricht bei erfolgreicher bannung per mail

das ganze sieht so aus

Code:

Hi,

The IP '61.152.133.124' has just been banned by Fail2Ban after
2 attempts against 'SSH'.

Regards, 

Fail2Ban

http://www.root-wiki.net/index.php/F...n_Installation


mfg

in welcher Datei kann man denn das bestimmen nach wieviel Versuchen bzw. Wie lange man gebannt wird ?
Gibt es irgendwas worauf man achten sollte ?

Zitat von Bart

in welcher Datei kann man denn das bestimmen nach wieviel Versuchen bzw. Wie lange man gebannt wird ?
Gibt es irgendwas worauf man achten sollte ?

steht doch eigentlich alles in der Doku, naja macht nichts,

im ordner /etc/ ist die Datei fail2ban.conf und in der kannst du alle Einstellung vornehmen.

Ergänzung zu diesem HowTo:
(wenn es den Admin nicht gefällt, darf er es löschen)

http://www.pc-forum24.de/howtos/13-d...tallation.html

Installation, ist gleich geblieben.

Jetzt zur Konfiguration:

das Konfigurationsfile liegt im ordner

Code:

/etc/fail2ban/

In der fail2ban.conf könnt Ihr bloss noch den LogLeverl einstellen Standart 3 könnt Ihr so lassen.

Interessanter ist die Datei jail.conf, dort könnt Ihr ale Einstellungen machen bzw. an Eure Bedürfnisse anpassen.

Code:

destemail = root@localhost

Eure Mailadresse rein, damit Ihr über fehlgeschlagene Logginversuche unterrichtet werdet.

Code:

[ssh]

enabled = true
port	= ssh
filter	= sshd
logpath  = /var/log/auth.log
maxretry = 2

Die Conf zu ändern ist eigentlich selbsterklären, oben nur ssh als Beispiel.

Code:

enabled = true

Fail2ban überwacht ssh, false Überwachung deaktiviert.

Code:

maxretry = 2

Nach 2 falschen Eingaben wird die IP für 10 min (Grundeinstellung) gesperrt.

[edit on]

Damit die geänderte jail.conf greift, kenne ich leider bisher nur die Möglichkeit den Server zu rebooten. Damit alle Dienste aktiv sind.

[edit off]