Fail2ban ist ein Open-Source-Tool, das verwendet wird, um Ihr Linux-System vor Brute Force und anderen automatisierten DDoS-Angriffen zu schützen. Es blockiert die Clients, die sich wiederholt nicht korrekt bei den für sie konfigurierten Diensten authentifizieren. Tatsächlich überwacht es die Protokolle von Diensten auf böswillige Aktivitäten und identifiziert die automatisierten Angriffe. Dieser Artikel erklärt, wie man Fail2ban unter Debian 10 installiert und konfiguriert.

Fail2ban unter Debian installieren

Das Fail2ban-Paket ist in den Standard-Repositorys von Debian 10 enthalten. Es ist also sehr einfach, das Fail2ban-Paket zu installieren.

Schritt 1 – Installieren Sie Fail2ban

apt-get update

apt-get install fail2ban

Sobald die Installation abgeschlossen ist, wird der Fail2ban-Dienst automatisch gestartet.

Schritt 2 – Installation überprüfen

Sie können die Installation überprüfen, indem Sie den Dienststatus überprüfen:

apt-get systemctl status fail2ban

? fail2ban.service - Fail2Ban Service
     Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
     Active: active (running) since Wed 2020-05-15 03:11:19 UTC; 27s ago
...

Das ist es. An diesem Punkt läuft Fail2Ban auf Ihrem Debian-Server.

Schritt 3 – Fail2ban-Konfiguration

Standardmäßig, /etc/fail2ban/jail.conf und /etc/fail2ban/jail.d/defaults-debian.conf Dateien sind Konfigurationsdateien, die mit der Fail2Ban-Installation geliefert werden. Wir werden diese Dateien nicht direkt bearbeiten, da diese überschrieben werden können, sobald das Paket aktualisiert wird.

Wir werden eine weitere Kopie erstellen jail.conf Konfigurationsdatei mit jail.local und nehmen Sie dann Änderungen daran vor .local Datei. In .local gibt es nur Änderungen, die wir überschreiben müssen. Fail2ban liest die Konfigurationsdateien in der folgenden Reihenfolge. Jede .local-Datei überschreibt die Einstellungen aus der .conf Datei:

• /etc/fail2ban/jail.conf
• /etc/fail2ban/jail.d/*.conf
• /etc/fail2ban/jail.local
• /etc/fail2ban/jail.d/*.local

Kopiere das jail.conf und als speichern jail.local Datei:

apt-get cp /etc/fail2ban/jail.{conf,local}

Um die Konfigurationsänderungen vorzunehmen, öffnen Sie jail.local Datei mit Texteditor:

apt-get nano /etc/fail2ban/jail.local

Wie Sie die Anweisung mit Kommentar in der Konfigurationsdatei sehen können. Unten ist die Konfigurationsdatei mit Standardeinstellungen. Lassen Sie uns die grundlegende Konfiguration in dieser Datei ändern.

[DEFAULT]
# "ignoreip" can be a list of IP addresses, CIDR masks or DNS hosts. Fail2ban
# will not ban a host that matches an address in this list. Several addresses
# can be defined using space (and/or comma) separator.
ignoreip = 127.0.0.1/8
# "bantime" is the number of seconds that a host is banned.
bantime = 3600
# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 5m
# "maxretry" is the number of failures before a host gets banned.
maxretry = 3
# "backend" specifies the backend used to get files modification.
# systemd: uses systemd python library to access the systemd journal.
# Specifying "logpath" is not valid for this backend.
# See "journalmatch" in the jails associated filter config
backend=systemd

Whitelist-IP-Adresse

Sie können die IP-Adresse und IP-Bereiche zu hinzufügen ignoreip Anweisung, alle Zeit zuzulassen und ein Verbot zu verhindern. Hier können Sie Ihre lokalen IP-Adressen und andere Systemadressen hinzufügen, die Sie auf die Whitelist setzen möchten.

Sie sollten die Zeile, die mit beginnt, auskommentieren ignoreip und fügen Sie Ihre IP-Adressen durch Leerzeichen getrennt hinzu:

ignoreip = 127.0.0.1/8 ::1 123.123.123.123 192.168.55.0/24

Ban-Einstellungen

Die Werte von bantime, findtimeund maxretry Optionen definieren die Sperrzeit und Sperrbedingungen.

Der bantime ist die Dauer, für die die IP gesperrt ist. Der Standardwert für bantime ist 10 Minuten und wenn kein Suffix angegeben ist, werden Sekunden berücksichtigt. Wenn Sie die längere Zeit ändern möchten, ändern Sie einfach den Wert wie folgt:

bantime = 1d

Verwenden Sie für ein dauerhaftes Verbot die negative Zahl.

Der findtime die Dauer zwischen der Anzahl der Fehler, bevor ein Bann gesetzt wird. Wenn beispielsweise Fail2ban so eingestellt ist, dass eine IP nach fünf Fehlern gesperrt wird (maxretry), müssen diese Fehler innerhalb der auftreten findtime Dauer.

findtime = 5m

Möglichkeit maxretry ist die Anzahl der Fehler, dann wird es verboten. Der Standardwert für die maxretry ist 5 und es ist für die meisten Benutzer in Ordnung.

maxretry = 3

Fazit

Sie haben erfolgreich gelernt, wie man Fail2Ban auf einem Debian 10-System installiert und konfiguriert. Um mehr über Fail2Ban zu erfahren, besuchen Sie Fail2ban-Dokumentation.

Wenn Sie Fragen oder Anregungen haben, hinterlassen Sie bitte unten einen Kommentar.