/var/log/auth.log ←– Protokolldatei für Logins
System auf Updates kontrollieren und gegebenenfalls installieren:
apt get update && apt get upgrade
Installation per apt-Paketmanager:
apt install fail2ban
Im Ordner
/etc/fail2ban
befindet sich die Datei
jail.conf
die Datei jail.conf muss Kopiert und in jail.local umbenannt werden.
cp jail.conf jail.local
Mit einem Texteditor die neue jail.local öffnen:
nano jail.local
Hier sind die einzelnen Konfigurationen beschrieben.
Die wichtigsten Einstellungen sind bantime findtime und maxretry.
Sie legen fest wie lange gebannt wir, in welchem Zeitraum die fehlerhaften Versuche gezählt werden und wie oft dies bis zum Bann passieren darf.
Auf Produktivsystemen wird empfohlen:
Die bantime auf mindestens einen Tag, besser länger einstellen.
Die findtime auf mindestens 12 Stunden, wenn möglich auch einen Tag einstellen.
Die Anzahl von maxretry auf 2-3 Versuche setzen.
WiCHTIG
Wenn der ssh Port des Systems manuell geändert wurde, müssen die Ports bei „SSH servers“, weiter unten in der Datei, in allen vorkommenden Fällen von ssh auf den individuell eingestellten Port ändern. Sonst ist der Schutz nicht aktiv.
Nach jeder Änderung der Konfiguration muss der Dienst mit folgendem Befehl neu gestartet werden:
systemctl restart fail2ban
Der Status des laufenden fail2ban Dienstes lässt sich mit dem Befehl
systemctl status fail2ban
kontrollieren.
Wie viele IP-Adressen in den jeweiligen Jails der einzelnen Dienste eingetragen sind lässt sich einfach über einen Befehl auf der Konsole anzeigen. Am Ende des Befehls muss nur der gewollte Jail stehen:
fail2ban-client status sshd für den sshDeamon Jail
fail2ban-client status proxmox für den manuell hinzugefügten Proxmox Jail