Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
tux:fail2ban [2011/03/31 15:05] 127.0.0.1 external edit |
tux:fail2ban [2011/04/16 21:48] (aktuell) wikisysop |
||
---|---|---|---|
Zeile 10: | Zeile 10: | ||
>><fc #008000>fail2ban</fc><< wertet diverse Logfiles aus und erstellt dynamisch nach einer konfigurierbaren Anzahl fehlgeschlagener Anmeldeversuche Iptables-Regeln, welche die in Ungnade gefallene IP-Adresse für einen konfigurierbaren Zeitraum ins Nirvana routet. Iptables ist ein Paketfilter (Netfilter) welcher bei vielen Linux-Distributionen bereits im Standardumfang enthalten ist. Dieser Filter ist bereits aktiv, enthält jedoch erst mal keine Regeln. Mit dem Kommando >><fc #008000>iptables -L</fc><< können Sie sich den derzeit aktuellen Regelsatz anzeigen lassen: | >><fc #008000>fail2ban</fc><< wertet diverse Logfiles aus und erstellt dynamisch nach einer konfigurierbaren Anzahl fehlgeschlagener Anmeldeversuche Iptables-Regeln, welche die in Ungnade gefallene IP-Adresse für einen konfigurierbaren Zeitraum ins Nirvana routet. Iptables ist ein Paketfilter (Netfilter) welcher bei vielen Linux-Distributionen bereits im Standardumfang enthalten ist. Dieser Filter ist bereits aktiv, enthält jedoch erst mal keine Regeln. Mit dem Kommando >><fc #008000>iptables -L</fc><< können Sie sich den derzeit aktuellen Regelsatz anzeigen lassen: | ||
- | <xterm># <fc #9acd32>iptables -L</fc> | + | <xterm># <fc #008000>iptables -L</fc> |
Chain INPUT (policy ACCEPT) | Chain INPUT (policy ACCEPT) | ||
target prot opt source destination | target prot opt source destination | ||
Zeile 25: | Zeile 25: | ||
Nach der Installation von >>fail2ban<< wird dem Iptables Regelsatz eine neue Chain hinzugefügt: | Nach der Installation von >>fail2ban<< wird dem Iptables Regelsatz eine neue Chain hinzugefügt: | ||
- | <xterm># <fc #9acd32>iptables -L</fc> | + | <xterm># <fc #008000>iptables -L</fc> |
Chain INPUT (policy ACCEPT) | Chain INPUT (policy ACCEPT) | ||
target prot opt source destination | target prot opt source destination | ||
- | <fc #f0e68c>fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh</fc> | + | <fc #0000FF>fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh</fc> |
Chain FORWARD (policy ACCEPT) | Chain FORWARD (policy ACCEPT) | ||
Zeile 36: | Zeile 36: | ||
target prot opt source destination | target prot opt source destination | ||
- | <fc #f0e68c>Chain fail2ban-ssh (1 references) | + | <fc #0000FF>Chain fail2ban-ssh (1 references) |
target prot opt source destination | target prot opt source destination | ||
RETURN all -- anywhere anywhere</fc> | RETURN all -- anywhere anywhere</fc> | ||
Zeile 45: | Zeile 45: | ||
Die Installation auf einem Debian System ist gewohnt einfach: | Die Installation auf einem Debian System ist gewohnt einfach: | ||
- | <xterm2># <fc #008000>aptitude install fail2ban</fc> (cr) | + | <xterm># <fc #008000>aptitude install fail2ban</fc> |
- | </xterm2> | + | </xterm> |
...und die Sache ist schon erledigt. >><fc #008000>fail2ban</fc><< hat bereits out of the box eine "scharfe" Einstellung für den SSH Zugang des Systems. Sie müssen lediglich noch den ssh-Daemon neu starten und ab dann wird der SSH Zugang überwacht und ggf nach den fail2ban Default Einstellungen (3 fehlgeschlagene Anmeldeversuche; 10 Minuten) gesperrt. | ...und die Sache ist schon erledigt. >><fc #008000>fail2ban</fc><< hat bereits out of the box eine "scharfe" Einstellung für den SSH Zugang des Systems. Sie müssen lediglich noch den ssh-Daemon neu starten und ab dann wird der SSH Zugang überwacht und ggf nach den fail2ban Default Einstellungen (3 fehlgeschlagene Anmeldeversuche; 10 Minuten) gesperrt. | ||
- | <xterm2># <fc #008000>/etc/init.d/ssh restart</fc> (cr) | + | <xterm># <fc #008000>/etc/init.d/ssh restart</fc> |
- | </xterm2> | + | </xterm> |
Zeile 59: | Zeile 59: | ||
Der Standardpfad für die Konfigurations-Dateien auf einem Debian System ist >>/etc/fail2ban/<<: | Der Standardpfad für die Konfigurations-Dateien auf einem Debian System ist >>/etc/fail2ban/<<: | ||
- | <file|> | + | <xterm>/etc/fail2ban# <fc #008000>tree</fc> |
- | root@vmdebian3:fail2ban # tree | + | |
. | . | ||
|-- action.d | |-- action.d | ||
Zeile 104: | Zeile 103: | ||
| `-- xinetd-fail.conf | | `-- xinetd-fail.conf | ||
`-- jail.conf | `-- jail.conf | ||
- | </file> | + | </xterm> |
<note tip>Jede >>.conf<< Datei kann mit einer >>.local<< Datei überschrieben werden. Zuerst wird die conf-Datei gelesen, danach die local-Datei (falls vorhanden), welche die Einstellungen der conf-Datei überschreibt. Die local-Dateien bleiben bei einem Update unangetastet, Sie sollten demnach Ihre persönlichen Einstellungen in den local-Dateien vornehmen.</note> | <note tip>Jede >>.conf<< Datei kann mit einer >>.local<< Datei überschrieben werden. Zuerst wird die conf-Datei gelesen, danach die local-Datei (falls vorhanden), welche die Einstellungen der conf-Datei überschreibt. Die local-Dateien bleiben bei einem Update unangetastet, Sie sollten demnach Ihre persönlichen Einstellungen in den local-Dateien vornehmen.</note> |