Fail2ban Installation

Status
Für weitere Antworten geschlossen.

cm

Administrator
Teammitglied
Wichtiges über fail2ban

Viele Benutzer müssen einfach auf den Rechner zugreifen können. Leider können dann auch Angreifer sehr einfach in das System einbrechen, indem sie einfach solange Kombinationen aus Benutzername/Passwort ausprobieren, bis sie ein passendes Paar gefunden haben. Das Programm fail2ban verhindert genau dieses "ausprobieren". Es untersucht die Logfiles des Systems nach fehlgeschlagenen Loginversuchen und sperrt dann die Internetadresse (IP) des Angreifers für eine gewisse Zeit. Es kann sowohl im Hintergrund (als Dämon) als auch im Vordergrund laufen
PS: Fail2ban (unstabe) für Sarge gibt es noch keine Stable - Version


Installationsvorbereitung


Als erstes müsst ihr die Datei
Code:
 sources.list
im Ordner
Code:
/etc/apt/
öffnen und
folgende Zeilen hinzufügen

Code:
deb     [URL='http://ftp.de.debian.org/debian']http://ftp.de.debian.org/debian[/URL] etch main 
deb-src [URL='http://ftp.de.debian.org/debian']http://ftp.de.debian.org/debian[/URL] etch main 
deb     [URL='http://security.debian.org/']http://security.debian.org/[/URL] etch/updates main 
deb-src [URL='http://security.debian.org/']http://security.debian.org/[/URL] etch/updates main

Diese 4 Zeilen ermöglichen es euch unstabe (etch) Pakete zu downloaden und zu installieren.

Danach müsst ihr noch ein

Code:
apt-get update

durchführen

um anschließend fail2ban mit

Code:
apt-get -t unstable install fail2ban

zu installieren.

Die Konfiguration

das Konfigurationsfile liegt im ordner
Code:
/etc/
mit dem Namen
Code:
 fail2ban.conf
in dieser Datei könnt ihr festlegen bei wieviel Versuchen geblockt/gebannt wird (beste und sicherste wäre natürlich 1 aber schnell hat man sich selber ausgesperrt daher lieber die 2 wählen)und wielange der bann bestehen bleibt standard sind 600 Sekunden
Nachricht bei erfolgreicher bannung per mail

das ganze sieht so aus :D
Code:
Hi,

The IP '61.152.133.124' has just been banned by Fail2Ban after
2 attempts against 'SSH'.

Regards, 

Fail2Ban
 

Küspert

Member
AW: Fail2ban Installation

Hi,

also hat wunderbar gefunzt die Installation.

Hoffe ich werde es trotzdem nie brauchen das Programm ;)
 

Slowman

New Member
AW: Fail2ban Installation

Habe es mir auch installiert, ob es läuft weiss ich noch nicht. Habe es gerade beim einloggen von vhcs probiert, da greift es nicht, bei was greift es denn ? Nur bei ssh login ?:confused:

# Option: maxfailures
# Notes.: number of failures before IP gets banned.
# Values: NUM Default: 5
#
maxfailures = 2
Ist doch die einstellung ? Noch was einstellen ?
 

cm

Administrator
Teammitglied
AW: Fail2ban Installation

Slowman schrieb:
Habe es mir auch installiert, ob es läuft weiss ich noch nicht. Habe es gerade beim einloggen von vhcs probiert, da greift es nicht, bei was greift es denn ? Nur bei ssh login ?:confused:



Ist doch die einstellung ? Noch was einstellen ?
Kannst du alles in der Config einstellen, SSH ist standard auf aktiv, den Rest musst editieren aber eigentlich steht auch alles in der Config.
 

cm

Administrator
Teammitglied
AW: Fail2ban Installation

Slowman schrieb:
Ja, hier ist Sie:
Ihr müsst euch das mal alles durchlesen steht alles in der config
Ich sag nur "enabled = false"

Noch ein Tipp

Code:
"enabled = [B]false (mal auf true setzen)
[/B] 
# Option:  logfile
# Notes.:  logfile to monitor.
# Values:  FILE  Default:  /var/log/apache/access.log
#
logfile = /var/log/apache/access.log

# Option:  port
# Notes.:  specifies port to monitor
# Values:  [ NUM | STRING ]  Default:
#
port = http"
 

Slowman

New Member
Änderungen in Fail2Ban Installation

Ergänzung zu diesem HowTo:
(wenn es den Admin nicht gefällt, darf er es löschen)

http://www.pc-forum24.de/howtos/13-debian-fail2ban-installation.html

Installation, ist gleich geblieben.

Jetzt zur Konfiguration:

das Konfigurationsfile liegt im ordner

Code:
/etc/fail2ban/
In der fail2ban.conf könnt Ihr bloss noch den LogLeverl einstellen Standart 3 könnt Ihr so lassen.

Interessanter ist die Datei jail.conf, dort könnt Ihr ale Einstellungen machen bzw. an Eure Bedürfnisse anpassen.

Code:
destemail = root@localhost
Eure Mailadresse rein, damit Ihr über fehlgeschlagene Logginversuche unterrichtet werdet.

Code:
[ssh]

enabled = true
port	= ssh
filter	= sshd
logpath  = /var/log/auth.log
maxretry = 2
Die Conf zu ändern ist eigentlich selbsterklären, oben nur ssh als Beispiel.


Code:
enabled = true
Fail2ban überwacht ssh, false Überwachung deaktiviert.

Code:
maxretry = 2
Nach 2 falschen Eingaben wird die IP für 10 min (Grundeinstellung) gesperrt.
 
Status
Für weitere Antworten geschlossen.
Oben