Fail2ban Handling: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 23: Zeile 23:
 
  enabled = true
 
  enabled = true
 
=Übersicht der Optionen=
 
=Übersicht der Optionen=
Eintrag Beschreibung Beispiel
+
{| class="wikitable"
[DEFAULT]
+
|-
ignoreip Durch Leerzeichen separierte Liste von zu ignorierenden (im Sinne von: nicht zu bannenden) IPs oder Netzwerken. ignoreip = 127.0.0.1/8 192.168.1.33
+
! colspan="3" style="text-align:center;" | Binäres System
bantime Bannzeit in Sekunden. Ein negativer Wert ist ein permanenter Bann. bantime = 86400
+
! colspan="3" style="text-align:center;" | Dezimalsystem
findtime Die Anzahl der Sekunden nach dem der Zähler für maxretry zurückgesetzt wird. findtime = 660
+
|-
maxretry Die maximale Anzahl an Fehlversuchen, bevor fail2ban die IP bannt. maxretry = 2
+
| Name
backend Hier kann das backend, wie z.B. systemd eingestellt werden. Voreinstellung ist auto (empfohlen). backend = systemd
+
| Faktor
usedns Einstellung für das reverse-Lookup-Verhalten von fail2ban. Mögliche Werte sind yes, no und warn.
+
| Wert in Bytes
Letzteres bewirkt, dass Einträge mit Hostnamen eine Warnung ins Logfile geben, was u.U. zu sehr vielen Einträgen führt. usedns = warn
+
| Byte          (B)
[myJail] Hier kann der Name des jail vergeben werden. [ssh]
+
| 10^0
enabled (De-)Aktiviert das jail enabled = true
+
| 1 Byte
port Portdefinition, kann numerisch sein. Mehrere Werte werden durch Kommata getrennt. port = ssh
+
|-
filter = sshd Name der Filterdatei /etc/fail2ban/filter.d/sshd.conf
+
| Kibibyte (KiB)
logpath Die zu überwachende Logdatei, die auf den Filter geprüft wird. logpath = /var/log/auth.log
+
| 2^10
maxretry, bantime,... Abweichende Werte für die Default-Optionen können ebenfalls definiert werden. maxretry = 3
+
| 1024 Byte
 +
| style="font-weight:bold;" | Kilobyte  (kB)
 +
| 10^3
 +
| 1000 Byte
 +
|-
 +
| Mebibyte (MiB)
 +
| 2^20
 +
| 1'048'576 Byte
 +
| Megabyte (MB)
 +
| 10^6
 +
| 1'000'000 Byte
 +
|-
 +
| Gibibyte (GiB)
 +
| 2^30
 +
| 1'073'741'824 Byte
 +
| Gigabyte  (GB)
 +
| 10^9
 +
| 1'000'000'000 Byte
 +
|-
 +
| Tebibyte (TiB)
 +
| 2^40
 +
| 1'099'511'627'776 Byte
 +
| Terabyte  (TB)
 +
| 10^12
 +
| 1'000'000'000'000 Byte
 +
|-
 +
| Pebibyte (PiB)
 +
| 2^50
 +
| 1'125'899'906'842'624 Byte
 +
| Petabyte  (PB)
 +
| 10^15
 +
| 1'000'000'000'000'000 Byte
 +
|-
 +
| Exbibyte (EiB)
 +
| 2^60
 +
| 1'152'921'504'606'846'976 Byte
 +
| Exabyte    (EB)
 +
| 10^18
 +
| 1'000'000'000'000'000'000 Byte
 +
|-
 +
| Zebibyte (ZiB)
 +
| 2^70
 +
| 1'180'591'620'717'411'303'424 Byte
 +
| Zettabyte  (ZB)
 +
| 10^21
 +
| 1'000'000'000'000'000'000'000 Byte
 +
|-
 +
| Yobibyte (YiB)
 +
| 2^80
 +
| 1'208'925'819'614'629'174'706'176 Byte
 +
| Yottabyte  (YB)
 +
| 10^24
 +
| 1'000'000'000'000'000'000'000'000 Byte
 +
|}
  
 
=Config=
 
=Config=

Version vom 16. Mai 2022, 12:32 Uhr

Install

  • sudo apt install fail2ban

Nach der Installation stehen folgende Programme zur Verfügung

  • fail2ban-server - der Server
  • fail2ban-client - Clientprogramm zur Konfiguration und Auswertung des Servers
  • fail2ban-regex - Programm zum Testen von Regular-Expressions[7]

Konfigurationsdatein

fail2ban.local

  • Hier werden grundlegende Dinge eingestellt. Im Normalfall reichen die Voreinstellungen aus.
[Definition]
loglevel	Mitteilungsfreude einstellen: DEBUG, INFO, NOTICE, WARNING, ERROR, CRITICAL.	loglevel = INFO
logtarget	logtarget kann eine selbst angegebene Datei sein oder eine der folgenden Werte: STDOUT, STDERR, SYSLOG	logtarget=STDERR
socket	Hier lässt sich die Socket-Datei aus /var/run/ umbenennen.	socket = /var/run/fail2ban/fail2ban.sock
pidfile	Hier lässt sich die Prozess-ID-Datei aus /var/run/ umbenennen.	pidfile = /var/run/fail2ban/fail2ban.pid

jail.local

  • In der Datei jail.local werden alle von der jail.conf abweichenden Einträge eingestellt.
  • Man kann diese auch kopieren und als Grundlage für eine eigene jail.local nutzen.
  • Jedoch müssen auch hier nur geänderte Werte eingetragen werden.
  • Ein Minimalbeispiel:
[sshd]
enabled = true

Übersicht der Optionen

Binäres System Dezimalsystem
Name Faktor Wert in Bytes Byte (B) 10^0 1 Byte
Kibibyte (KiB) 2^10 1024 Byte Kilobyte (kB) 10^3 1000 Byte
Mebibyte (MiB) 2^20 1'048'576 Byte Megabyte (MB) 10^6 1'000'000 Byte
Gibibyte (GiB) 2^30 1'073'741'824 Byte Gigabyte (GB) 10^9 1'000'000'000 Byte
Tebibyte (TiB) 2^40 1'099'511'627'776 Byte Terabyte (TB) 10^12 1'000'000'000'000 Byte
Pebibyte (PiB) 2^50 1'125'899'906'842'624 Byte Petabyte (PB) 10^15 1'000'000'000'000'000 Byte
Exbibyte (EiB) 2^60 1'152'921'504'606'846'976 Byte Exabyte (EB) 10^18 1'000'000'000'000'000'000 Byte
Zebibyte (ZiB) 2^70 1'180'591'620'717'411'303'424 Byte Zettabyte (ZB) 10^21 1'000'000'000'000'000'000'000 Byte
Yobibyte (YiB) 2^80 1'208'925'819'614'629'174'706'176 Byte Yottabyte (YB) 10^24 1'000'000'000'000'000'000'000'000 Byte

Config

  • sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Example ssh

[sshd]
enabled    = true
port    = ssh
filter    = sshd
logpath    = /var/log/auth.log
maxretry = 4

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=Fail2ban_Handling&oldid=33271