fail2ban

fail2ban wird auf einigen PING-Servern eingesetzt, um Brute-Force-Angriffen entgegen zu wirken.

Installation

apt-get install fail2ban

fail2ban benutzt zwei Konfigurationsdateien: /etc/fail2ban/jail.conf und /etc/fail2ban/jail.local (falls diese existiert). Wir behalten die im Debain-Paket mitgelieferte Konfiguration in jail.conf unverändert bei und erstellen zusätzlich unsere eigene jail.local mit diesem Inhalt:

[DEFAULT]
# don't block localhost or the servernets
ignoreip = 127.0.0.1 83.97.41.0/26 83.97.42.0/26 83.97.48.0/26

action = %(action_mw)s
destemail = root

[ssh-ddos]
enabled = true

[apache]
enabled = true

[apache-noscript]
enabled = true

[apache-overflows]
enabled = true

Wenn auf dem System kein apache eingesetzt wird, dann werden diese Teile entsprechend einfach weggelassen.

Zentrales Logging (Beta)

Auf stats.ping.de gibt es einen zentralen Report-Service (entwickelt von Bodo, Fragen bitte an die Admin-Liste). Um diesen zu benutzen werden zusätzlich bzw. stattdessen diese Zeilen in der jail.local benötigt:

# define report action
action_ping_reporter = ping-reporter[name=%(__name__)s]

action = %(action_mw)s
         %(action_ping_reporter)s

Des Weiteren wird die entsprechende Action-Konfiguration benötigt:

wget -O /etc/fail2ban/action.d/ping-reporter.conf http://stats.ping.de/ping-reporter.conf

In der Datei müssen noch Username und Passwort konfiguriert werden (ganz am Ende). Der Username sollte dem FQDN des Servers entsprechen.

Die Zugangsdaten müssen dann auf stats.ping.de konfiguriert werden:

htpasswd /var/www/fail2ban.users <FQDN>

Sollen keine emails verschickt werden, muss jail.local stattdessen

action = %(action_)s
         %(action_ping_reporter)s

enthalten (Achtung, Unterstrich (_) nicht vergessen!).

Rudimentäre Reports können unter http://stats.ping.de/cgi-bin/fail2ban-report.pl eingesehen werden.

Betrieb

fail2ban schickt emails (wie oben konfiguriert an den lokalen root-Account). Weitere Informationen werden in das Logfile /var/log/fail2ban.log geschrieben.