HOWTOS

Linux Server absichern – Teil 2: Fail2ban einrichten

Linux Server absichern – Teil 2: Fail2ban einrichten

Im zweiten Tutorial zum Thema Serversicherheit werden wir Fail2Ban einrichten. Dass ist ein Tool, dass automatisch die Logfiles eines Servers analysiert. Wenn es von einer IP-Adresse zuviele fehlerhafte Loginversuche z.B. via SSH entdeckt, sperrt es diese IP mit der IPTables Firewall.

Für dieses Tutorial sind folgende Dinge und Kenntnisse notwendig:

  • Server mit root Zugriff (z.B. günstig bei DigitalOcean)
  • Linux Grundkenntnisse
  • Editor verwenden
  • Dienste unter Linux

Getestet unter Ubuntu Linux > 12.04

Fail2Ban installieren

Als erstes muss Fail2Ban installiert werden. Wir machen dies über die Paketverwaltung:

$ sudo apt-get install fail2ban

Fail2Ban konfigurieren

Als nächstes aktivieren wir die benötigten Module, was davon abhängig ist, welche Software wir verwenden. Auch die E-Mailadresse muss noch eingerichtet werden.

$ sudo nano /etc/fail2ban/jail.conf

Als erstes schauen wir uns die Default-Sektion an. Ich zeige euch die wichtigsten Einstellungen, die ihr anpassen müsst:

[DEFAULT]
bantime = 600 #Sperrzeit in Sekunden
destemail = root@example.com # Eure E-Mailadresse

Nun könnt ihr die Software für eure jeweiligen Dienste aktivieren.

SSH

[ssh]
enabled  = true # true zum aktivieren
port     = ssh # odr evt. Portnummer z.b. port = 12345
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

ProFTPd

[proftpd]
enabled  = true # true zum aktivieren
port     = ftp,ftp-data,ftps,ftps-data # evt. port nummern
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6

Wenn ihr alle erforderlichen Dienste aktiviert habt, könnt ihr Fail2Ban mit folgendem Befehl neustarten:

` $ sudo service fail2ban restart