Inhalte
Fail2ban ist ein nützliches und vorallem ein wichtiges Tools, um bösartige Angreifer zu erkenenn und diese auch gleich zu bannen.Wichtig zu wissen ist, dass fail2ban kein 100% schutz gegen DDos Attaken oder der gleichen ist. Fail2ban schaut in den Logs nach verdächtigen ausgaben und sperrt daraufhin die IP Adresse des Senders. Dabei kann die Dauer und das Muster selber bestimmt werden. Dabei wird das Sperren von IP Adressen mithilfe von iptables realisiert.
Installation
Um auf einem Server fail2ban zu installieren reicht es meistens aus, dass man dies über die Paketverwaltung apt-get installiert. Dazu reicht ein apt-get install fail2ban meistens aus. Nach der Installation befinden sich nun unter dem /etc/fail2ban Ordner das Konfigurationsverzeichnis /filder.d und das Konfigurationsfile jail.conf.
Filter erstellen
Meistens genügt es, die vorgeschriebenen Sectionen aus der jail.conf zu aktivieren. Dies geht mit dem einbetten der einzelnen Sectionen. Sollte dies jedoch mal nicht reichen, so kann fail2ban auch eigene geschriebene Regeln aufnehmen. Dazu einfach am Ende der Datei eine eigenen Section aufbauen.
Dies könnten z.b. so ausehen:
# # Port Scan HTTP # [servicehhtp] enabled = true port = http filter = httpaction logpath = /var/log/http.log maxretry = 3
Unter filter.d/ sollte man nun eine Datei mit folgendem Inhalt anlegen.
[Definition] failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - Wrong password
Filterregeln prüfen
Mit dem Befehl fail2ban-regex /path/to/fail2ban.log /path/to/filder.d/fail2ban.conf kann man die eigenen regeln auf Verträglichkeit überprüfen.
Starten/Stoppen
Start: /etc/init.d/fail2ban start
Stop: /etc/init.d/fail2ban stop
Restart: /etc/init.d/fail2ban restart
Reload: /etc/init.d/fail2ban reload
Gesperrte Ip Adressen anzeigen
Will man die gesperrten IP Adressen anzeigen lassen, so kann man dies mithilfe des Iptables befehls iptbales -L -n realisieren.
