fail2ban

ähnlich wie DenyHosts

, , , , ,

Quelle1)

fail2ban nutzt iptables, um IP-Adressen zu blockieren.

Nutzt Regeln INPUT-Chain und legt eine neue Chain an mit einer DROP-Regel zu jedem blockierten Host.

fail2ban kann Wrapper-Technik & ipfw. Kann nicht nur SSH schützen, sondern auch FTP- und Mailserver.

apt-get install fail2ban

Standardmäßig sind aber nur Regeln für SSH aktiv. In der Konfigurationsdatei jail.conf im Verzeichnis /etc/fail2ban sind aber Regeln für weitere Dienste vordefiniert, die man bei Bedarf nur noch aktivieren muss.

Wie DenyHost sucht auch fail2ban mittels regulärer Ausdrücke nach Hinweisen auf fehlgeschlagene Anmeldeversuche in /var/log/auth.log. Problem: Ubunti schreibt wie WH in log-file: „last message repeated x times“. Das verwirrt fail2ban (nur 1. Versuch zählt). → viele mehr Fehlversuche erlaubt

Abhilfe vielleicht: Syslog-Kompression deaktivieren (fasst gleichlautende Meldungen zusammen) ABER: Standard-Syslog-Dienst unterstützt Ausschalten nicht. DenyHosts hat Problem nicht (bessere regex)

Workaround: Konfiguration SSH-Daemons: Zahl der erlaubten Fehlversuche heruntersetzen (z.B. 2) & den fail2ban-Einstellungen die Zahl der max.Wiederholungen auch auf z.B. 2 runter. (Dann: 2×2 = max. 4 Fehlversuche)

Gegenüber DenyHosts hat fail2ban indes den Vorteil, dass es gesperrte Hosts automatisch entsperren kann.

Die Option bantime = 1200 löscht die blockierende iptables-Regel nach 20 Minuten automatisch.