Fail2ban | SSH Absichern Teil 2

September 30, 2010 at 5:45 pm (IT) (, , , , , , )

Wie bereits angekündigt hier noch der zweite Teil zum Thema SSH-Sicherheit:

FAIL2BAN

Fail2Ban ist ein Dienst der Log-Files von anderen Diensten nach BruteForce Attacken durchforstet. Hat eine entdeckt wird die Angreifer IP mittels IP-Tables blockiert. Das tolle an FAIL2BAN ist das eine ganze Reihe von Diensten überwachen kann und mithilfe von RRDTool ist sogar eine grafische Auswertung der Ban Statistik möglich. Ausserdem ist es dazu in der Lage E-Mails an den Administrator zu verschicken. Heute werde ich nur auf die konfiguration der Überwachung des SSHD Dienstes eingehen.

Fail2Ban ist in für viele Distributionen als Package verfügbar:

http://www.fail2ban.org/wiki/index.php/Downloads

Unter Debian Lenny langt ein einfaches

apt-get install fail2ban

um Fail2Ban zu installieren. Als erstes sollte man die Konfigurationsdatei von Fail2Ban erstellen. Hierfür wird eine Kopie der mitgelieferten jail.conf angelegt:

cp /etc/init.d/fail2ban/jail.conf /etc/fail2ban/jail.local

Die Datei jail.local wird nun zur Konfiguration von Fail2Ban verwendet und hat Vorrang gegenüber der jail.conf.

Das Tolle ist das der SSHD-Dienst schon von vorneherein aktiviert ist, sodass man nur noch ein paar kleine Anpassungen in der jail.conf vornehmen muss:

ignoreip = 111.222.333.444 (Hier können bestimmte IP’s eingetragen auf die die Regeln von Fail2Ban nicht angewendet werden   sollen) 
bantime = 600
(Zeit in Sekunden die eine IP gebant ist)
maxretry = 3
(Anzahl der Wiederholung einer falschen Passwort eingabe bis Ban ausgeteilt wird)

Danach nocheinmal Fail2Ban mit /etc/init.d/fail2ban restart neustarten. Das Logfile von Fail2Ban findet ihr unter /var/log/fail2ban.log
Demnächst mehr zu Fail2Ban!

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: