Fail2ban: Unterschied zwischen den Versionen

Aus Mikiwiki
Zur Navigation springen Zur Suche springen
Zeile 50: Zeile 50:
== Weblinks ==
== Weblinks ==


{{Weblinks|{{url|CH|Fail2ban|eng|http://www.fail2ban.org/|Fail2ban}}
{{Weblinks|{{url|CH|Fail2ban|eng|http://www.fail2ban.org/|Fail2ban|Offizielle Homepage}}
{{url|DE|Howtoforge|eng|http://www.howtoforge.com/fail2ban_debian_etch|Preventing brute force attacks with Fail2ban on Debian Etch}}
{{url|DE|Howtoforge|eng|http://www.howtoforge.com/fail2ban_debian_etch|Preventing brute force attacks with Fail2ban on Debian Etch}}
{{url_enwikipedia|Fail2ban|Fail2ban}}
{{url_enwikipedia|Fail2ban|Fail2ban}}

Version vom 8. März 2009, 21:28 Uhr

Fail2ban durchsucht Logdateien wie "/var/log/pwdfail" oder "/var/log/apache/error_log" und blockiert IP-Addressen, die zu viele fehlgeschlagene Loginversuche haben. Es aktualisiert Firewallregeln (iptables), um die IP-Addressen zu sperren. Fail2Ban kann mehrere Logdateien lesen (z. B. die von sshd oder Apache).

Installation

Ubuntu 7.04 FeistyFawn

# apt-get install fail2ban

Die Konfigurationsdateien finden sich danach im Verzeichnis "/etc/fail2ban".

Konfiguration

Das Standardverhalten von Fail2ban wird in der Datei "/etc/fail2ban/jail.conf" eingestellt.

Option Beschreibung
ignoreip Eine durch Leerschläge getrennte Liste von IP-Adressen, die von Fail2ban nicht geblockt werden können, z. B. diejenige des Rechners von dem aus sich der Administrator anmeldet.
bantime Zeit in Sekunden, für die ein Rechner blockiert wird, wenn er durch Fail2ban erwischt wurde.
maxretry Maximale Anzahl von fehlgeschlagenen Loginversuchen bis ein Rechner durch Fail2ban blockiert wird.
filter Bezieht sich auf die passende Filterdatei unter "/etc/fail2ban/filter.d".
logpath Die Logdatei, die Fail2ban nach fehlgeschlagenen Loginversuchen durchsieht.

Anstatt die originale Datei "/etc/fail2ban/jail.conf" zu verändern, wird eine eigene Datei namens "/etc/fail2ban/jail.local" angelegt. Die Standardeinstellungen sind folgende.

ignoreip = 127.0.0.1
bantime  = 600
maxretry = 3

Danach wird Fail2ban neu gestartet.

# /etc/init.d/fail2ban restart

Fail2ban schreibt seine Meldungen danach in die Datei "/var/log/fail2ban.log", in der man nachsehen kann ob gerade ein Rechner geblockt wird. Wenn ja, sehen die entsprechenden Einträge beispielsweise wie folgt aus.

2007-11-19 17:49:09,466 fail2ban.actions: WARNING [apache] Ban 1.2.3.4
2007-11-19 18:08:33,213 fail2ban.actions: WARNING [sasl] Ban 1.2.3.4

Auch in den Firewallregeln kann geprüft werden, ob gerade ein Rechner geblockt wird.

# iptables -L

Leider kann ich selber auf meinem virtuellen Rechner Fail2ban nicht einsetzen, da dort im Gegensatz zu einem physikalischen Rechner kein Zugriff auf iptables erlaubt ist...

Weblinks

Herausgeber Sprache Webseitentitel Anmerkungen