Fail2ban – Hör mal wer da klopft

Jeder der einen eigenen Server betreibt sollte wissen dass da drausen im Netz nicht nur böse Urheberrechtsverletzer und GEMA-Verweigerer unterwegs sind sondern auch Menschen die nur euer bestes wollen. Euer Geld Euren Server. Am Beispiel der fehlgeschlagenen SSH-Logins sieht man das sehr schön.

Dez 02 18:26:36 lonie.de sshd[212053]: Failed password for root from 222.186.42.13 port 58843 ssh2
Dez 02 18:26:39 lonie.de sshd[212053]: Failed password for root from 222.186.42.13 port 58843 ssh2
Dez 02 18:32:35 lonie.de sshd[212073]: Failed password for root from 221.131.165.33 port 48115 ssh2
Dez 02 18:32:38 lonie.de sshd[212073]: Failed password for root from 221.131.165.33 port 48115 ssh2
Dez 02 18:32:40 lonie.de sshd[212073]: Failed password for root from 221.131.165.33 port 48115 ssh2

Genau hier setzt Fail2ban an. Es überwacht eure Logfiles anhand von regulären Ausdrücke. Bei m Treffern innerhalb von n Sekunden erstellt es eine iptables Regel für o Sekunden welche die QuellIP sperrt.

Die Installation gestaltet sich recht trivial. Einfach das Paket installieren und es läuft out of the box.

yum install fail2ban

Für die Konfiguration erstellt ihr ein eigenes Configfile um vor Paketupdates geschützt zu sein und passen die Werte für m,n und o an sowie IPs mit Freifahrtschein 😀

/etc/fail2ban/jail.local:
[DEFAULT]
ignoreip = 192.168.0.2/24
bantime  = 21600
findtime  = 300
maxretry = 3
banaction = iptables-multiport
backend = systemd

[sshd]
enabled = true

[postfix]
enabled = true

[dovecot]
enabled = true

Im Logfile /var/log/fail2ban.log schaut das ganze dann wie folgt aus:

fail2ban.filter         [63820]: INFO    [sshd] Found 45.145.65.53 - 2021-12-02 19:14:42
fail2ban.filter         [63820]: INFO    [sshd] Found 45.145.65.53 - 2021-12-02 19:14:44
fail2ban.actions        [63820]: NOTICE  [sshd] Ban 45.145.65.53

fail2ban stellt aber auch einen Client zur Verfügung. fail2ban-client – der Name sprüht vor Einfallsreichtum 😀 – liefert übersichtlich alle notwendigen Informationen.

[root@lonie log]# fail2ban-client status
Status
|- Number of jail:      3
`- Jail list:   dovecot, postfix, sshd
[root@lonie log]# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     4857
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 12
   |- Total banned:     938
   `- Banned IP list:   23.183.81.54 141.98.10.82 221.131.165.75 141.98.10.202 221.181.185.94 222.186.42.13 221.131.165.33 210.205.46.147 45.145.65.53 221.131.165.50 222.186.42.137 222.187.238.58

Weiterführende Informationen dazu gibt es unter www.fail2ban.org

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert