Mit dem Tool „fail2ban“ kann man Brute-Force Angriffe abwähren. Dabei wird die IP Adresse der Angreifer aus den Log-Dateien ermittelt und in der Firewall (iptable) gesperrt.
Die Installation aus dem Ubuntu Repositories erfolgt mit.
sudo apt-get install fail2ban
Nach der Installation ist der Schutz von SSH automatisch aktiviert.
sudo vim /etc/fail2ban/jail.conf
[DEFAULT] # "ignoreip" can be an IP address, a CIDR mask or a DNS host ignoreip = 127.0.0.1 192.168.178.0/24 office.example.de bantime = 1800 maxretry = 3 [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3 [apache] enabled = true port = http,https filter = apache-auth logpath = /var/log/apache*/*error.log maxretry = 6 |
Nach Änderungen muß der Dienst neu gestartet werden.
sudo service fail2ban restart
Eine Kontrolle der Firewall (iptables) erfolgt mit diesem Kommando. Einträge werden in dem Chain „fail2ban“ hinterlegt.
sudo iptables -L
Das Tool fail2ban-client
zeigt die Jails an.
sudo fail2ban-client status
sudo fail2ban-client status apache
Sperre für eine IP Adresse wieder aufheben.
sudo fail2ban-client set apache unbanip 123.123.123.123