Das folgende Tutorial zeigt, wie man Fail2ban installiert und einige Konfigurationen vornimmt.

Aktualisieren Sie Ihre Ubuntu Betriebssystem, um sicherzustellen, dass alle vorhandenen Pakete auf dem neuesten Stand sind:

sudo apt update && sudo apt upgrade -y

Standardmäßig ist fail2ban im Standard-Repository von Ubuntu 20.04 enthalten, was die Installation unkompliziert macht.

Beginnen Sie die Installation von Fail2ban, indem Sie den folgenden Befehl ausführen.

sudo apt install fail2ban -y

Sobald Sie die Installation von Fail2ban abgeschlossen haben, müssen wir den Servicestatus überprüfen. Standardmäßig sollte Fail2ban bei der Installation automatisch aktiviert und gestartet werden. Verwenden Sie den folgenden Befehl, um zu sehen.

systemctl status fail2ban

Wenn fail2ban nicht gestartet werden konnte, aktivieren Sie den Dienst mit dem folgenden Befehl.

sudo systemctl enable fail2ban --now

Fail2ban Backup-Einstellungen

Nach Abschluss der Installation müssen einige Einstellungen und grundlegende Konfigurationen vorgenommen werden. Fail2ban wird mit zwei Konfigurationsdateien geliefert, die sich in /etc/fail2ban/jail.conf befinden und das standardmäßige Fail2ban /etc/fail2ban/jail.d/defaults-debian.conf. Ändern Sie diese Dateien nicht. Die ursprünglichen Setup-Dateien sind Ihre Originale und werden bei jedem zukünftigen Update von Fail2ban ersetzt.

Jetzt fragen Sie sich vielleicht, wie wir Fail2ban eingerichtet haben, denn wenn Sie aktualisieren, verlieren Sie Ihre Einstellungen. Ganz einfach, wir erstellen Kopien, die auf .local statt auf .conf enden. Fail2ban liest immer die .local Dateien zuerst vor dem Laden der .conf

Verwenden Sie dazu die folgenden Befehle.

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Jetzt kommst du zu dem Teil wo du die jail.local öffnest und die Einstellungen anpassen kannst.

sudo nano /etc/fail2ban/jail.local
[DEFAULT]
ignoreip = 127.0.0.1, 192.168.0.0/24
bantime = -1 #<- Ban IP for ever
findtime = 10m
maxretry = 3

[sshd]
enabled   = true
maxretry  = 3
findtime  = 15m
bantime   = -1
ignoreip  = 127.0.0.1/8 192.168.0.0/24
action = %(action_mw)s
banaction_allports = iptables-allports
logpath = /var/log/auth.log

E-Mail-Warnungen/Benachrichtigungen

Sie können eine E-Mail-Adresse für Fail2ban festlegen, um Berichte zu senden. Die Standardaktion = %(action_mw)s, die die anstößige IP sperrt und eine E-Mail mit einem Whois-Bericht zur Überprüfung sendet. In Ihrem action.d-Ordner gibt es jedoch andere E-Mail-Optionen, um sich nicht nur an sich selbst zu melden, sondern auch E-Mails an Blacklist-Anbieter und den ISP des Angreifers zu senden.

Das Setup-Beispiel ist unten:

# Destination email address used solely for the interpolations in
# jail.{conf,local,d/*} configuration files.
destemail = admin@example.com

# Sender e-mail address used solely for some actions
sender = fail2ban@example.com

Wenn Sie mit Ihrer Einrichtung zufrieden sind, führen Sie den folgenden Befehl aus, um fail2ban neu zu starten, um Ihre neuen Jails zu laden.

sudo systemctl restart fail2ban

Fail2ban-Client verwenden

Jetzt, da Sie mit Fail2ban einsatzbereit sind, müssen Sie einige grundlegende Betriebsbefehle kennen. Dies geschieht mit dem Befehl fail2ban-client. Abhängig von Ihrer Einrichtung benötigen Sie möglicherweise sudo-Berechtigungen.

Sperren Sie eine IP-Adresse:

sudo fail2ban-client set sshd banip <ip address>
sudo fail2ban-client set sshd banip 185.60.216.15

Sperre einer IP-Adresse aufheben:

sudo fail2ban-client set sshd unbanip <ip address>

Befehl zum Aufrufen des Hilfemenüs, wenn Sie zusätzliche Einstellungen oder Hilfe zu einer bestimmten Einstellung benötigen.

sudo fail2ban-client -h

Überwachen Sie Fail2ban-Protokolle

Viele häufige Fehler sind die Errichtung von Gefängnissen und die Flucht, ohne zu testen oder zu überwachen, was sie tun. Das Überprüfen von Protokollen ist unerlässlich, und das Protokoll „fail2ban“ befindet sich in seinem Standardpfad /var/log/fail2ban.log.

Wenn Sie einen Server haben, der anständigen Datenverkehr empfängt, ist die Verwendung des Befehls tail -f wie unten beschrieben ein ausgezeichneter Befehl, um live zuzusehen, um Probleme zu sehen und ein Auge darauf zu haben, während Sie auf anderen Servern arbeiten.

sudo tail -f /var/log/fail2ban.log

That´s it, have fun 😉

Schreibe einen Kommentar