Einführung

Fail2Ban ist ein leistungsstarkes Sicherheitstool, das Linux-basierte Server vor Brute-Force-Angriffen schützt. Es überwacht Protokolldateien auf verdächtige Aktivitäten und sperrt bösartige IP-Adressen mithilfe von Firewall-Regeln. Diese Anleitung führt Sie durch den Prozess der Installation, Konfiguration und Verwendung von Fail2Ban auf einem Ubuntu-System.

Installation von Fail2Ban

Aktualisieren Sie zunächst Ihre Paketliste und installieren Sie Fail2Ban mit den folgenden Befehlen:

sudo apt update
sudo apt install fail2ban -y

Nach der Installation starten und aktivieren Sie den Fail2Ban-Dienst:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

Сonfiguration von Fail2Ban

Die Standardkonfigurationsdatei für Fail2Ban befindet sich unter /etc/fail2ban/jail.conf. Es wird jedoch empfohlen, eine benutzerdefinierte Konfigurationsdatei zu erstellen, um zu verhindern, dass Änderungen bei Aktualisierungen überschrieben werden.

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Bearbeiten Sie die Konfigurationsdatei mit einem Texteditor:

sudo nano /etc/fail2ban/jail.local

Einstellungen für die Schlüsselkonfiguration

  • bantime: Legt die Dauer (in Sekunden) fest, für die eine IP-Adresse gesperrt wird.
  • findtime: Legt das Zeitfenster für die Erkennung mehrerer Fehlversuche fest.
  • maxretry: Anzahl der fehlgeschlagenen Anmeldeversuche, bevor eine IP-Adresse gesperrt wird.
  • ignoreip: Liste der vertrauenswürdigen IP-Adressen, die nicht gesperrt werden sollen.

Beispiel-Einstellungen:

[DEFAULT]
bantime = 600
findtime = 600
maxretry = 5
ignoreip = 127.0.0.1/8

Aktivieren von Fail2Ban für SSH

Um Fail2Ban für den SSH-Schutz zu aktivieren, stellen Sie sicher, dass der folgende Abschnitt in jail.local vorhanden ist:

[sshd]
aktiviert = true
anschluss = ssh
filter = sshd
protokollpfad = /var/log/auth.log
maxretry = 3

Speichern Sie die Datei und starten Sie Fail2Ban neu:

sudo systemctl restart fail2ban

Überprüfen des Fail2Ban-Status

Um zu überprüfen, ob Fail2Ban korrekt funktioniert, verwenden Sie den folgenden Befehl:

sudo fail2ban-client status

Um den Status einer bestimmten Jail (z.B. SSH) zu überprüfen:

sudo fail2ban-client status sshd

Aufhebung des Verbots einer IP-Adresse

Wenn eine legitime IP-Adresse gesperrt wird, können Sie die Sperre aufheben:

sudo fail2ban-client set sshd unbanip

Fazit

Fail2Ban ist ein wichtiges Werkzeug zur Verbesserung der Serversicherheit, indem es Brute-Force-Angriffe verhindert. Wenn Sie es richtig konfigurieren, können Sie unautorisierte Zugriffsversuche erheblich reduzieren und Ihren Ubuntu-Server vor potenziellen Bedrohungen schützen.