📒  Vertrauen und sicherheit

Installation von fail2ban und Konfiguration von Fail2ban auf Linux-Servern

Wie installiere ich fail2ban und konfiguriere es in Linux-Servern (ubuntu / debian), indem ich fail2ban conf verwende und es auf ubuntu konfiguriere und fail2ban in Ihrem Server installiere.
Fail2ban kann wirklich schützen und helfen, Ihre Sicherheit in Linux-Servern durch die Überwachung für bösartige Aktivitäten und verdächtige Aktivitäten inzwischen kann es zu sperren und blockieren IP-Adressen.
Es ist wichtig zu wissen, wie man fail2ban installiert oder richtig konfiguriert, damit es reibungslos und ohne Probleme auf Ihrem Server funktioniert.

Voraussetzungen:
Debian / Ubuntu
Andere Linuxe (die Konfigurationsbefehle sind unterschiedlich)

HINWEIS: Sie können fail2ban nicht im Shared Hosting verwenden, Sie müssen es in unserem VPS Hosting oder Dedicated Servern von Alexhost verwenden.

Was ist Fail2ban?

configure fail2ban

Fail2Ban ist eine Anwendung zur Analyse von Protokollen, die die Sicherheit von Linux-Servern erhöht, indem sie Protokolldateien auf bösartige Aktivitäten überwacht und automatisch Maßnahmen ergreift, um IP-Adressen, die mit verdächtigem Verhalten in Verbindung stehen, zu sperren oder zu blockieren. Der Hauptzweck von fail2Ban besteht darin, Server vor verschiedenen Arten von Angriffen zu schützen, insbesondere vor Brute-Force-Angriffen, um sich unerlaubten Zugang zu verschaffen. Es ist wichtig, dass Sie wissen, wie Sie fail2ban korrekt auf Ihrem Server installieren.

So funktioniert Fail2Ban im Allgemeinen:

  1. Überwachung von Log-Dateien: Fail2Ban überwacht kontinuierlich bestimmte Protokolldateien auf Muster, die auf potenzielle Sicherheitsbedrohungen hinweisen. Zu diesen Protokolldateien gehören diejenigen, die mit Authentifizierungsversuchen in Verbindung stehen, wie /var/log/auth.log für SSH oder /var/log/apache2/error.log für Apache.
  2. Filterungsregeln: Fail2Ban verwendet vordefinierte oder benutzerkonfigurierte Filterregeln, um bestimmte Muster in den Protokolleinträgen zu erkennen. Diese Muster weisen typischerweise auf fehlgeschlagene Anmeldeversuche, das Erraten von Passwörtern oder andere verdächtige Aktivitäten hin.
  3. Übereinstimmende Muster: Wenn ein Protokolleintrag mit einem vordefinierten Muster übereinstimmt, zählt Fail2Ban ihn als “Fehlschlag” oder “Treffer” Die Filter sind darauf ausgelegt, gängige Angriffsmuster zu erkennen, wie z. B. wiederholte fehlgeschlagene Anmeldeversuche von derselben IP-Adresse.
  4. Verbots-Aktionen: Nach einer bestimmten Anzahl von übereinstimmenden Einträgen (konfiguriert durch die maxretry-Einstellung), ergreift Fail2Ban Maßnahmen, um die angreifende IP-Adresse zu sperren. Die Dauer der Sperrung wird durch die Einstellung bantime bestimmt. Diese temporäre Sperre trägt dazu bei, automatisierte Angriffe zu vereiteln, indem Angreifern der Zugang erschwert wird.
  5. Gefängnisse: Fail2Ban organisiert seine Überwachungs- und Verbotskonfigurationen in Einheiten, die “Jails” genannt werden Jede Jail entspricht einem bestimmten Dienst oder einer Reihe von Diensten. So kann es zum Beispiel eine Jail für SSH, eine andere für Apache usw. geben. Die Konfiguration für jede Jail, einschließlich der Filter und Verbotseinstellungen, wird in den Fail2Ban-Konfigurationsdateien festgelegt.
  6. Status und Interaktion: Systemadministratoren können den Status von Fail2Ban überprüfen, gesperrte IP-Adressen einsehen und Adressen bei Bedarf manuell entsperren. Fail2Ban protokolliert auch seine Aktionen, so dass Administratoren eine Historie der gesperrten IP-Adressen und relevanten Ereignisse erhalten.

Durch die automatische Sperrung von IP-Adressen, die ein bösartiges Verhalten zeigen, hilft Fail2Ban, Server vor Brute-Force-Angriffen, dem Erraten von Passwörtern und anderen Sicherheitsbedrohungen zu schützen. Fail2Ban ist ein wertvolles Werkzeug zur Verbesserung der allgemeinen Sicherheitslage eines Linux-Servers. Es ist jedoch wichtig, Fail2Ban für Ihre spezielle Umgebung zu konfigurieren und die Protokolle regelmäßig zu überprüfen, um die ordnungsgemäße Funktion sicherzustellen.

### Schritt 1: So installieren Sie Fail2Ban

Öffnen Sie ein Terminal auf Ihrem Ubuntu- oder Debian-Server und führen Sie die folgenden Befehle aus:

sudo apt update

sudo apt install fail2ban

### Schritt 2: Fail2Ban konfigurieren

  1. Erstellen Sie eine Kopie der Standard-Konfigurationsdatei:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

  1. Öffnen Sie die Datei `jail.local` in einem Texteditor. Sie können `nano` oder `vim` verwenden:

sudo nano /etc/fail2ban/jail.local

  1. Konfigurieren Sie die Grundeinstellungen in der Datei `jail.local`. Hier sind einige gängige Optionen:

bantime: Dauer (in Sekunden), für die eine IP gesperrt wird. Standard ist 10 Minuten (600 Sekunden).

findtime: Das Zeitfenster (in Sekunden), innerhalb dessen eine bestimmte Anzahl von Fehlversuchen auftreten muss, damit eine IP gesperrt wird.

maxretry: Die Anzahl der erlaubten Fehlversuche vor der Sperrung.

Beispiel:

[DEFAULT]

bantime = 600

suchzeit = 600

maxretry = 3

4. Legen Sie die Filter für die spezifischen Dienste fest, die Fail2Ban überwachen soll. Die Filter werden in der Datei `jail.local` unter dem Abschnitt `[]` definiert. Übliche Dienste sind SSH (`sshd`), Apache (`apache`) und Nginx (`nginx`).

Beispiel für SSH:

[sshd]

aktiviert = true

anschluss = ssh

filter = sshd

protokollpfad = /var/log/auth.log

maxretry = 5

Hinweis: Vergewissern Sie sich, dass der “Port” und der “Logpath” Ihrer spezifischen Konfiguration entsprechen.

  1. Speichern Sie die Datei “jail.local” und beenden Sie den Texteditor.

### Schritt 3: Starten Sie Fail2Ban neu

Nachdem Sie Änderungen an der Konfiguration vorgenommen haben, starten Sie Fail2Ban neu, um die neuen Einstellungen zu übernehmen:

sudo systemctl restart fail2ban

### Schritt 4: Fail2Ban-Status prüfen

Sie können den Status von Fail2Ban mit überprüfen:

sudo fail2ban-client status

Dies sollte Informationen über die Jails und deren Status anzeigen.

### Schritt 5: Testen Sie Fail2Ban

Um zu testen, ob Fail2Ban funktioniert, erzeugen Sie absichtlich einige fehlgeschlagene Anmeldeversuche bei dem überwachten Dienst (z.B. SSH). Nach Erreichen des angegebenen `maxretry` Wertes, sollte Fail2Ban die entsprechende IP-Adresse sperren.

Denken Sie daran, diese Anweisungen an Ihre spezifischen Ubuntu- oder Debian-System- und Dienstkonfigurationen anzupassen. Berücksichtigen Sie immer die Auswirkungen Ihrer Einstellungen auf die Sicherheit und überprüfen Sie regelmäßig die Logs auf unerwartetes Verhalten.

Hinweis: Wenn Sie fail2ban auf Ihrem Server konfigurieren, blockieren Sie nicht Port 22, es sei denn, Sie sind sich sicher, was Sie tun. In diesem Fall blockieren Sie den SSH-Standardport.

Warnung: Fail2ban ist ein hervorragendes Werkzeug zum Schutz Ihrer Linux-Server, muss aber sorgfältig konfiguriert werden. Um eine Sperrung zu vermeiden, sollten Sie Ihre IP und andere IPs, die Sie für wichtig halten, auf eine Whitelist setzen. Wenn Sie fail2ban verwenden und es nicht richtig konfigurieren, können Sie die Verbindung zu Ihrem Server verlieren. Es ist wichtig zu wissen, wie Sie fail2ban auf Ihrem Server (Ubuntu, Debian, CentOS usw.) installieren.