fail2ban
fail2ban wird auf einigen PING-Servern eingesetzt, um Brute-Force-Angriffen entgegen zu wirken.
Installation
apt-get install fail2ban
fail2ban benutzt zwei Konfigurationsdateien: /etc/fail2ban/jail.conf und /etc/fail2ban/jail.local (falls diese existiert). Wir behalten die im Debain-Paket mitgelieferte Konfiguration in jail.conf unverändert bei und erstellen zusätzlich unsere eigene jail.local mit diesem Inhalt:
[DEFAULT] # don't block localhost or the servernets ignoreip = 127.0.0.1 83.97.41.0/26 83.97.42.0/26 83.97.48.0/26 action = %(action_mw)s destemail = root [ssh-ddos] enabled = true [apache] enabled = true [apache-noscript] enabled = true [apache-overflows] enabled = true
Wenn auf dem System kein apache eingesetzt wird, dann werden diese Teile entsprechend einfach weggelassen.
Zentrales Logging (Beta)
Auf stats.ping.de gibt es einen zentralen Report-Service (entwickelt von Bodo, Fragen bitte an die Admin-Liste). Um diesen zu benutzen werden zusätzlich bzw. stattdessen diese Zeilen in der jail.local benötigt:
# define report action
action_ping_reporter = ping-reporter[name=%(__name__)s]
action = %(action_mw)s
%(action_ping_reporter)sDes Weiteren wird die entsprechende Action-Konfiguration benötigt:
wget -O /etc/fail2ban/action.d/ping-reporter.conf http://stats.ping.de/ping-reporter.conf
In der Datei müssen noch Username und Passwort konfiguriert werden (ganz am Ende). Der Username sollte dem FQDN des Servers entsprechen.
Die Zugangsdaten müssen dann auf stats.ping.de konfiguriert werden:
htpasswd /var/www/fail2ban.users <FQDN>
Sollen keine emails verschickt werden, muss jail.local stattdessen
action = %(action_)s
%(action_ping_reporter)senthalten (Achtung, Unterstrich (_) nicht vergessen!).
Rudimentäre Reports können unter http://stats.ping.de/cgi-bin/fail2ban-report.pl eingesehen werden.
Betrieb
fail2ban schickt emails (wie oben konfiguriert an den lokalen root-Account). Weitere Informationen werden in das Logfile /var/log/fail2ban.log geschrieben.