Fail2ban

Aus Mikiwiki
Zur Navigation springen Zur Suche springen

Fail2ban durchsucht Protokolldateien wie "/var/log/pwdfail" oder "/var/log/apache/error_log" und blockiert IP-Addressen, die zu viele fehlgeschlagene Loginversuche haben. Es aktualisiert Firewallregeln (iptables), um die IP-Addressen zu sperren. Fail2Ban kann mehrere Protokolldateien lesen (z. B. die von sshd oder Apache).

Installation

Ubuntu 7.04 FeistyFawn

# apt-get install fail2ban

Die Konfigurationsdateien finden sich danach im Verzeichnis "/etc/fail2ban".

Konfiguration

Das Standardverhalten von Fail2ban wird in der Datei "/etc/fail2ban/jail.conf" eingestellt.

Option Beschreibung
ignoreip Eine durch Leerschläge getrennte Liste von IP-Adressen, die von Fail2ban nicht geblockt werden können, z. B. diejenige des Rechners von dem aus sich der Administrator anmeldet.
bantime Zeit in Sekunden, für die ein Rechner blockiert wird, wenn er durch Fail2ban erwischt wurde.
maxretry Maximale Anzahl von fehlgeschlagenen Loginversuchen bis ein Rechner durch Fail2ban blockiert wird.
filter Bezieht sich auf die passende Filterdatei unter "/etc/fail2ban/filter.d".
logpath Die Protokolldatei, die Fail2ban nach fehlgeschlagenen Loginversuchen durchsieht.

Anstatt die originale Datei "/etc/fail2ban/jail.conf" zu verändern, wird eine eigene Datei namens "/etc/fail2ban/jail.local" angelegt. Die Standardeinstellungen sind folgende.

ignoreip = 127.0.0.1
bantime  = 600
maxretry = 3

Danach wird Fail2ban neu gestartet.

# /etc/init.d/fail2ban restart

Fail2ban schreibt seine Meldungen danach in die Datei "/var/log/fail2ban.log", in der man nachsehen kann ob gerade ein Rechner geblockt wird. Wenn ja, sehen die entsprechenden Einträge beispielsweise wie folgt aus.

2007-11-19 17:49:09,466 fail2ban.actions: WARNING [apache] Ban 1.2.3.4
2007-11-19 18:08:33,213 fail2ban.actions: WARNING [sasl] Ban 1.2.3.4

Auch in den Firewallregeln kann geprüft werden, ob gerade ein Rechner geblockt wird.

# iptables -L

Leider kann ich selber auf meinem virtuellen Rechner Fail2ban nicht einsetzen, da dort im Gegensatz zu einem physikalischen Rechner kein Zugriff auf iptables erlaubt ist...

Weblinks

Herausgeber Sprache Webseitentitel Anmerkungen
Fail2ban eng Fail2banwbm Offizielle Homepage
Howtoforge eng Preventing brute force attacks with Fail2ban on Debian Etchwbm
Wikipedia eng Fail2banwbm Enzyklopädischer Artikel