solutions:denyhosts
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
solutions:denyhosts [2017-03-12 13:33] – andreas | solutions:denyhosts [2017-11-04 09:45] – [Filtereinstellungen] andreas | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== Eindringversuche unterbinden mit denyhosts bzw. fail2ban ====== | ||
+ | |||
+ | Der Zugriff mittels //ssh// auf einen Server eröffnet Hackern viele Möglichkeiten. Daher wird speziell der Port 22 regelmäßig Ziel von Eindringversuchen. Das Tool // | ||
+ | |||
+ | Alternativ kann auch // | ||
+ | |||
+ | Das Tool wird in Ubuntu mit | ||
+ | < | ||
+ | $ sudo apt install denyhosts | ||
+ | </ | ||
+ | installiert. | ||
+ | |||
+ | Die Standardeinstellungen sind ok, können aber auch in ''/ | ||
+ | |||
+ | Die gesperrten IP Adressen werden in die Datei ''/ | ||
+ | Informationen zu den gesperrten IP-Adressen können mit '' | ||
+ | |||
+ | ====== Oktober 2017: fail2ban ersetzt denyhosts ====== | ||
+ | |||
+ | Leider scheint // | ||
+ | |||
+ | Erste Gehversuche auf lion machen einen guten Eindruck von // | ||
+ | |||
+ | ===== Konfiguration von fail2ban ===== | ||
+ | |||
+ | Die Konfiguration von fail2ban wird in ''/ | ||
+ | |||
+ | Inforamtionen hierzu sind z. B. in [[https:// | ||
+ | |||
+ | ==== Aktivieren / Erstellen von Jails ==== | ||
+ | |||
+ | In fail2ban werden sogenannte Jails erstellt, die log-Files nach Angriffsmustern untersuchen und IP-Adressen sperren, wenn die Muster binnen vorgegebener Zeit n-mal angesprochen werden. | ||
+ | |||
+ | Die Datei ''/ | ||
+ | |||
+ | Beispiel: | ||
+ | < | ||
+ | $ cat / | ||
+ | [sshd] | ||
+ | enabled = true | ||
+ | bantime = 86400 | ||
+ | |||
+ | [nginx-http-auth] | ||
+ | enabled = true | ||
+ | |||
+ | [nginx-botsearch] | ||
+ | enabled = true | ||
+ | |||
+ | [nginx-noscript] | ||
+ | enabled | ||
+ | port = http,https | ||
+ | filter | ||
+ | logpath | ||
+ | maxretry = 4 | ||
+ | </ | ||
+ | |||
+ | In dem Beispiel werden die vorgegebenen Jails [sshd], [nginx-http-auth] und [nginx-botsearch] aktiviert. Mit [nginx-noscript] wird ein eigenes Jail hinzugefügt. | ||
+ | |||
+ | ==== Filtereinstellungen ==== | ||
+ | |||
+ | Die Filter, nach denen die Log-Files untersucht werden befinden sich in ''/ | ||
+ | |||
+ | < | ||
+ | $ cat nginx-noscript.local | ||
+ | # fail2ban filter für nginx | ||
+ | |||
+ | [Definition] | ||
+ | |||
+ | failregex = ^< | ||
+ | |||
+ | ignoreregex = | ||
+ | |||
+ | </ | ||
+ | |||
+ | Vorgegebene Filter können auch erweitert werden, wie z. B. nginx-http-auth | ||
+ | |||
+ | < | ||
+ | $ nl nginx-http-auth.local | ||
+ | 1 # fail2ban filter configuration for nginx | ||
+ | |||
+ | |||
+ | | ||
+ | |||
+ | |||
+ | | ||
+ | 4 ^ \[error\] \d+#\d+: \*\d+ no user/ | ||
+ | |||
+ | | ||
+ | |||
+ | 6 # DEV NOTES: | ||
+ | 7 # Based on samples in https:// | ||
+ | 8 # Extensive search of all nginx auth failures not done yet. | ||
+ | | ||
+ | 10 # Author: Daniel Black | ||
+ | </ | ||
+ | |||
+ | Hier wurde Zeile 4 ergänzt, damit auch Fehlversuche ohne Passwort Eingabe gefiltert werden. | ||
+ | |||
+ | ==== fail2ban administrieren ==== | ||
+ | |||
+ | fail2ban läuft als Service, daher müssen alle Veränderungen durch einen Restart des Service aktiviert werden. | ||
+ | |||
+ | < | ||
+ | $ sudo systemctl restart fail2ban | ||
+ | </ | ||
+ | |||
+ | Den Zustand von fail2ban und der Jails kann man mit fail2ban-client ansehen. | ||
+ | |||
+ | < | ||
+ | $ sudo fail2ban-client status | ||
+ | Status | ||
+ | |- Number of jail: 4 | ||
+ | `- Jail list: | ||
+ | $ sudo fail2ban-client status sshd | ||
+ | Status for the jail: sshd | ||
+ | |- Filter | ||
+ | | |- Currently failed: 0 | ||
+ | | |- Total failed: 0 | ||
+ | | `- File list: | ||
+ | `- Actions | ||
+ | |- Currently banned: 3 | ||
+ | |- Total banned: 3 | ||
+ | `- Banned IP list: | ||
+ | </ | ||
+ | |||
solutions/denyhosts.txt · Zuletzt geändert: 2017-11-04 09:48 von andreas