fail2ban

ähnlich wie [[DenyHosts]] 

{{tag>/etc/hosts.deny ssl ssh securtity Python /var/log/auth.log}}

Quelle((http://www.heise.de/security/SSH-vor-Brute-Force-Angriffen-schuetzen--/artikel/142155/2))

 fail2ban nutzt  iptables, um IP-Adressen zu blockieren. 

Nutzt Regeln INPUT-Chain und legt eine neue Chain an mit einer DROP-Regel zu jedem blockierten Host.
 
fail2ban kann Wrapper-Technik & ipfw. Kann nicht nur SSH schützen, sondern auch FTP- und Mailserver. 
<code>apt-get install fail2ban</code>

Standardmäßig sind aber nur Regeln für SSH aktiv. In der Konfigurationsdatei jail.conf im Verzeichnis /etc/fail2ban sind aber Regeln für weitere Dienste vordefiniert, die man bei Bedarf nur noch aktivieren muss.

Wie DenyHost sucht auch fail2ban mittels regulärer Ausdrücke nach Hinweisen auf fehlgeschlagene Anmeldeversuche in /var/log/auth.log. 
Problem: Ubunti schreibt wie WH in log-file: "last message repeated x times". Das verwirrt fail2ban (nur 1. Versuch zählt). -> viele mehr Fehlversuche erlaubt

Abhilfe vielleicht:   Syslog-Kompression deaktivieren (fasst gleichlautende Meldungen zusammen) ABER: Standard-Syslog-Dienst unterstützt Ausschalten  nicht.  DenyHosts hat Problem nicht (bessere regex)

Workaround:  Konfiguration SSH-Daemons: Zahl der erlaubten Fehlversuche heruntersetzen (z.B. 2) & den fail2ban-Einstellungen die Zahl der max.Wiederholungen auch auf z.B. 2 runter. (Dann: 2x2 = max. 4 Fehlversuche) 

Gegenüber DenyHosts hat fail2ban indes den Vorteil, dass es gesperrte Hosts automatisch entsperren kann.

Die Option bantime = 1200 löscht die blockierende iptables-Regel nach 20 Minuten automatisch.