fail2ban
ähnlich wie DenyHosts
Quelle1)
fail2ban nutzt iptables, um IP-Adressen zu blockieren.
Nutzt Regeln INPUT-Chain und legt eine neue Chain an mit einer DROP-Regel zu jedem blockierten Host.
fail2ban kann Wrapper-Technik & ipfw. Kann nicht nur SSH schützen, sondern auch FTP- und Mailserver.
apt-get install fail2ban
Standardmäßig sind aber nur Regeln für SSH aktiv. In der Konfigurationsdatei jail.conf im Verzeichnis /etc/fail2ban sind aber Regeln für weitere Dienste vordefiniert, die man bei Bedarf nur noch aktivieren muss.
Wie DenyHost sucht auch fail2ban mittels regulärer Ausdrücke nach Hinweisen auf fehlgeschlagene Anmeldeversuche in /var/log/auth.log. Problem: Ubunti schreibt wie WH in log-file: „last message repeated x times“. Das verwirrt fail2ban (nur 1. Versuch zählt). → viele mehr Fehlversuche erlaubt
Abhilfe vielleicht: Syslog-Kompression deaktivieren (fasst gleichlautende Meldungen zusammen) ABER: Standard-Syslog-Dienst unterstützt Ausschalten nicht. DenyHosts hat Problem nicht (bessere regex)
Workaround: Konfiguration SSH-Daemons: Zahl der erlaubten Fehlversuche heruntersetzen (z.B. 2) & den fail2ban-Einstellungen die Zahl der max.Wiederholungen auch auf z.B. 2 runter. (Dann: 2×2 = max. 4 Fehlversuche)
Gegenüber DenyHosts hat fail2ban indes den Vorteil, dass es gesperrte Hosts automatisch entsperren kann.
Die Option bantime = 1200 löscht die blockierende iptables-Regel nach 20 Minuten automatisch.