Thema: Fail2ban Installation

Wichtiges über fail2ban

Viele Benutzer müssen einfach auf den Rechner zugreifen können. Leider können dann auch Angreifer sehr einfach in das System einbrechen, indem sie einfach solange Kombinationen aus Benutzername/Passwort ausprobieren, bis sie ein passendes Paar gefunden haben. Das Programm fail2ban verhindert genau dieses "ausprobieren". Es untersucht die Logfiles des Systems nach fehlgeschlagenen Loginversuchen und sperrt dann die Internetadresse (IP) des Angreifers für eine gewisse Zeit. Es kann sowohl im Hintergrund (als Dämon) als auch im Vordergrund laufen
PS: Fail2ban (unstabe) für Sarge gibt es noch keine Stable - Version


Installationsvorbereitung

Als erstes müsst ihr die Datei

Code:

 sources.list

im Ordner

Code:

/etc/apt/

öffnen und
folgende Zeilen hinzufügen

Code:

deb     http://ftp.de.debian.org/debian etch main 
deb-src http://ftp.de.debian.org/debian etch main 
deb     http://security.debian.org/ etch/updates main 
deb-src http://security.debian.org/ etch/updates main

Diese 4 Zeilen ermöglichen es euch unstabe (etch) Pakete zu downloaden und zu installieren.
Danach müsst ihr noch ein

Code:

apt-get update

durchführen
um anschließend fail2ban mit

Code:

apt-get -t unstable install fail2ban

zu installieren.
Die Konfiguration

das Konfigurationsfile liegt im ordner

Code:

/etc/

mit dem Namen

Code:

 fail2ban.conf

in dieser Datei könnt ihr festlegen bei wieviel Versuchen geblockt/gebannt wird (beste und sicherste wäre natürlich 1 aber schnell hat man sich selber ausgesperrt daher lieber die 2 wählen)und wielange der bann bestehen bleibt standard sind 600 Sekunden
Nachricht bei erfolgreicher bannung per mail

das ganze sieht so aus

Code:

Hi,

The IP '61.152.133.124' has just been banned by Fail2Ban after
2 attempts against 'SSH'.

Regards, 

Fail2Ban

Gut das "Problem" hat sich von selbst erledigt

Habe es mir auch installiert, ob es läuft weiss ich noch nicht. Habe es gerade beim einloggen von vhcs probiert, da greift es nicht, bei was greift es denn ? Nur bei ssh login ?

# Option: maxfailures
# Notes.: number of failures before IP gets banned.
# Values: NUM Default: 5
#
maxfailures = 2

Ist doch die einstellung ? Noch was einstellen ?

Ja, hier ist Sie:

@root-forum

Jetzt, wo du es sagst

Danke

Ergänzung zu diesem HowTo:
(wenn es den Admin nicht gefällt, darf er es löschen)

http://www.pc-forum24.de/howtos/13-d...tallation.html

Installation, ist gleich geblieben.

Jetzt zur Konfiguration:

das Konfigurationsfile liegt im ordner

Code:

/etc/fail2ban/

In der fail2ban.conf könnt Ihr bloss noch den LogLeverl einstellen Standart 3 könnt Ihr so lassen.

Interessanter ist die Datei jail.conf, dort könnt Ihr ale Einstellungen machen bzw. an Eure Bedürfnisse anpassen.

Code:

destemail = root@localhost

Eure Mailadresse rein, damit Ihr über fehlgeschlagene Logginversuche unterrichtet werdet.

Code:

[ssh]

enabled = true
port	= ssh
filter	= sshd
logpath  = /var/log/auth.log
maxretry = 2

Die Conf zu ändern ist eigentlich selbsterklären, oben nur ssh als Beispiel.

Code:

enabled = true

Fail2ban überwacht ssh, false Überwachung deaktiviert.

Code:

maxretry = 2

Nach 2 falschen Eingaben wird die IP für 10 min (Grundeinstellung) gesperrt.