Fail2Ban ein sexy ssh blocker
.:: Einleitung ::.
Fail2Ban durchsucht Logdateien wie /var/log/pwdfail oder /var/log/apache/error_log und blockt IP-Adressen, die zu viele fehlgeschlagene Loginversuche haben. Es aktualisiert Firewallregeln, um diese IP-Adressen zu sperren. Fail2Ban kann mehrere Logfiles lesen - beispielsweise die von sshd oder apache. Die IP-Adressen werden nach einer vorher festgelegten Zeitspanne wieder aktiviert.
Benötigt wird:
IPTABLES
python >= 2..
Desweiteren sichert Fail2Ban nicht nur Port 22 (SSH) ab, sondern noch weit aus mehr. (sshd, apache, qmail, proftpd, sasl, etc)
.: Installation :.
Da ich ein Debian System benutze ist die Installation sehr einfach über den Paketmanager zu erledigen:
$ sudo apt-get install fail2ban
Damit ist es im wesentlichen schon getan. Nun läußt Fail2Ban auf dem System.
Wichtig ist nun noch die Feinjustierung am Fail2Ban.
Die Fail2Ban Konfiguration ist relativ einfach. Es gibt nur ein Konfigurationsfile in dem Fail2Ban insgesamt konfiguriert wird. Die Datei befindet sich unter /etc/fail2ban.conf
Sie können jeden beliebigen Texteditor verwenden um die Datei zu bearbeiten: vim, emacs, joe, ae...
Die Datei muss als root editiert werden.
.: URL Sammlung :.
http://www.fail2ban.org/wiki/index.php/FAQ_german
http://blog.256bit.org/archives/383-fail2ban-und-der-Kampf-gegen-Trackback-Spam.html