fail2ban

Schützt echte Dienste vor Fremdzugriff

https://www.youtube.com/watch?v=dt19TlGZXKE

ist für Standard-Logs wie /var/log/auth.log verantwortlich.
"Rocket-fast System Logging"

apt install rsyslog
systemctl enable rsyslog --now

apt install fail2ban

Fail2ban installieren
```
apt install fail2ban
```
Eigene jail.local Datei erstellen (Einstellungen haben Priorität vor jail.conf)
```
nvim /etc/fail2ban/jail.local
```
Beispielkonfiguration für SSH in jail.local hinzufügen:
- (Passwort-Fehlversuche dauerhaft bannen)

[DEFAULT]

Dauerhafter Bann

bantime = -1

Alternativ eine Incrementelle Bamzeit konfigurieren

bantime.increment = true
bantime = 1h
bantime.factor = 2

Jeder weitere Bann verdoppelt die Zeit

bantime.maxtime = 4w

Maximal 4 Wochen

findtime = 600

Zeitraum für Fehlversuche (in Sekunden)

findtime = 10m

Zeitraum für Fehlversuche (in Minuten)

maxretry = 1

Nur 1 Fehlversuch erlaubt (alternativ 3-6)

logpath = /var/log/auth.log

Pfad für Login-Versuche

backend = systemd

Systemd als Backend

ignoreip = 127.0.0.1/8 ::1

Lokale Verbindungen nie sperren

[sshd]
enabled = true
filter = sshd

greift auf '/etc/fail2ban/filter.d/sshd.conf' für filterregeln zu

port = 2222

Angepasster SSH-Port [nginx-badbots] enabled = true port = http,https filter = nginx-badbots logpath = /var/log/nginx/access.log [postfix] enabled = true port = smtp,submissions,465 filter = postfix logpath = /var/log/mail.log maxretry = 5 findtime = 10m bantime = 1h [dovecot] enabled = true port = imap,imaps,pop3,pop3s filter = dovecot logpath = /var/log/mail.log maxretry = 5 findtime = 10m bantime = 1h [wireguard] enabled = true port = 51820 filter = wireguard logpath = /var/log/syslog maxretry = 3 findtime = 10m bantime = 1h

konfiguration testen

fail2ban-client -t

Fail2ban aktivieren und starten

systemctl enable fail2ban --now
systemctl status fail2ban
fail2ban-client status sshd

Logs prüfen/überwachen

sort /var/log/auth.log
sort /var/log/auth.log | uniq | wc -l

cat /var/log/auth.log | wc -l

wc -l /var/log/auth.log

tail -f /var/log/auth.log

Postfix überwachen

Konfiguration in /etc/fail2ban/jail.local hinzufügen:

[postfix]
enabled = true
port = smtp,ssmtp,submission
logpath = /var/log/mail.log
backend = systemd
maxretry = 3 # Maximale Fehlversuche
findtime = 600 # Zeitraum (Sekunden) für Fehlversuche
bantime = 3600 # Sperrdauer (Sekunden)

Postfix-SASL (SMTP-Authentifizierung)

Konfiguration in /etc/fail2ban/jail.local hinzufügen:

[postfix-sasl]
enabled = true
port = smtp,ssmtp,submission
logpath = /var/log/mail.log
backend = systemd
maxretry = 5
findtime = 600
bantime = 3600

Dovecot (IMAP/POP3)

Konfiguration in /etc/fail2ban/jail.local hinzufügen:

[dovecot]
enabled = true
port = pop3,pop3s,imap,imaps
logpath = /var/log/mail.log
backend = systemd
maxretry = 5
findtime = 600
bantime = 3600

Wichtige Pfade

Hauptkonfiguration:

/etc/fail2ban/jail.local # Benutzerdefinierte Einstellungen
/etc/fail2ban/jail.conf # Standardkonfiguration (nicht direkt bearbeiten)

Logdateien:

/var/log/mail.log # Logdatei für Postfix und Dovecot
/var/log/fail2ban.log # Logdatei für Fail2ban-Aktivitäten

Filterdateien:

/etc/fail2ban/filter.d/postfix.conf # Filter für Postfix
/etc/fail2ban/filter.d/postfix-sasl.conf # Filter für Postfix-SASL
/etc/fail2ban/filter.d/dovecot.conf # Filter für Dovecot

Wichtige Befehle

Fail2ban neu starten:

systemctl restart fail2ban

Konfiguration testen:

fail2ban-client -t

Beispielausgabe:
OK: configuration test is successful

Status von Fail2ban prüfen:

fail2ban-client status

Details eines spezifischen Jails anzeigen:

fail2ban-client status postfix

Logs überwachen:

tail -f /var/log/fail2ban.log
tail -f /var/log/mail.log

Tipp

Wenn ein Jail nicht wie erwartet funktioniert, überprüfe die Filterdateien im Verzeichnis /etc/fail2ban/filter.d/. Dort findest du die Regeln, die Fail2ban verwendet, um verdächtige Einträge in den Logs zu erkennen.

Tipp von Mark McNally

Rsyslog

Fail2ban

Mail