fail2ban

Die Installation und Konfiguration soll als root durchgeführt werden

Installation von Fail2Ban

apt install fail2ban iptables

Autostart: 

update-rc.d fail2ban defaults

Dienst konfigurieren

Nach der Installation ist Fail2Ban in dem Verzeichnis /etc/fail2ban zu finden. Die Konfigurationsdatei heißt jail.conf. Diese Datei benennen wir um zu jail.bak erstellen eine Kopie mit Namen jail.local. Jetzt öffnen wir die jail.local zum Editieren 

vim /etc/jail2ban/jail.local

Wir ändern die Zeilen: 

ignoreip = 127.0.0.1/8 192.168.178.0/24
destemail = andre@creutz.net
sender = fail2ban@creutz.net
mta = ssmtp

Überwachung

In dem Ordner /etc/fail2ban/jail.d werden einzelne Dateien mit der Endung .conf angelegt. Dort werden die Überwachungsparameter angegeben

Erklärung der Parameter

enabled true / false Aktive / Inaktive Regel
filter Name des Filters aus der /etc/fail2ban/filter.d
port Angabe des Ports auf dem gelauscht werden soll
logpath Pfad zur Logdatei
maxretry Wie oft darf man den Zugriff versuchen bevor man gesperrt wird
findtime Zeitraum in Sekunden der berücksichtigt wird
bantime

ssh
Um eigene Jails zu erstellen legen wir eine Datei /etc/fail2ban/jail.d/ssh.conf an und kopieren diesen Inhalt hinein 

[ssh]
enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 4

Apache absichern Voraussetzung ist eine Apache2-Installation. Alle Änderungen der jail.local sind hier gelistet: \\https://www.digitalocean.com/community/tutorials/how-to-protect-an-apache-server-with-fail2ban-on-ubuntu-14-04

Hier die Zeilen die in der jail.local angepasst werden müssen: 

[DEFAULT]

. . .
ignoreip = 127.0.0.1/8 192.168.178.3       # Lokale IP anpassen
bantime = 3600
findtime = 3600                            # These lines combine to ban clients that fail
maxretry = 6                               # to authenticate 6 times within a half hour.
mta = mail                                 # Notification via Mail
destemail = youraccount@email.com          # your mailaddress
sendername = Fail2BanAlerts                # mail from
action = %(action_mwl)s

[apache]

enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 6

[apache-noscript]

enabled  = true

[apache-overflows]

enabled  = trport     = http,https
filter   = apache-overflows
logpath  = /var/log/apache*/*error.log
maxretry = 2

[apache-badbots]

enabled  = true
port     = http,https
filter   = apache-badbots
logpath  = /var/log/apache*/*error.log
maxretry = 2