= fail2ban =

[[www.fail2ban.org|fail2ban]] wird auf einigen PING-Servern eingesetzt, um Brute-Force-Angriffen entgegen zu wirken.

== Installation ==

{{{
apt-get install fail2ban
}}}

fail2ban benutzt zwei Konfigurationsdateien: {{{/etc/fail2ban/jail.conf}}} und {{{/etc/fail2ban/jail.local}}} (falls diese existiert). Wir behalten die im Debain-Paket mitgelieferte Konfiguration in {{{jail.conf}}} unverändert bei und erstellen zusätzlich unsere eigene {{{jail.local}}} mit diesem Inhalt:

{{{
[DEFAULT]
# don't block localhost or the servernets
ignoreip = 127.0.0.1 83.97.41.0/26 83.97.42.0/26 83.97.48.0/26

action = %(action_mw)s
destemail = root

[ssh-ddos]
enabled = true

[apache]
enabled = true

[apache-noscript]
enabled = true

[apache-overflows]
enabled = true
}}}

Wenn auf dem System kein apache eingesetzt wird, dann werden diese Teile entsprechend einfach weggelassen.

=== Zentrales Logging (Beta) ===

Auf {{{stats.ping.de}}} gibt es einen zentralen Report-Service (entwickelt von Bodo, Fragen bitte an die Admin-Liste). Um diesen zu benutzen werden zusätzlich bzw. stattdessen diese Zeilen in der {{{jail.local}}} benötigt:

{{{
# define report action
action_ping_reporter = ping-reporter[name=%(__name__)s]

action = %(action_mw)s
         %(action_ping_reporter)s
}}}

Des Weiteren wird die entsprechende Action-Konfiguration benötigt:
{{{
wget -O /etc/fail2ban/action.d/ping-reporter.conf http://stats.ping.de/ping-reporter.conf
}}}

In der Datei müssen noch Username und Passwort konfiguriert werden (ganz am Ende). Der Username sollte dem FQDN des Servers entsprechen.

Die Zugangsdaten müssen dann auf {{{stats.ping.de}}} konfiguriert werden:
{{{
htpasswd /var/www/fail2ban.users <FQDN>
}}}

Sollen keine emails verschickt werden, muss {{{jail.local}}} stattdessen

{{{
action = %(action_)s
         %(action_ping_reporter)s
}}}

enthalten (Achtung, Unterstrich (_) nicht vergessen!).

Rudimentäre Reports können unter http://stats.ping.de/cgi-bin/fail2ban-report.pl eingesehen werden.

== Betrieb ==

fail2ban schickt emails (wie oben konfiguriert an den lokalen root-Account). Weitere Informationen werden in das Logfile {{{/var/log/fail2ban.log}}} geschrieben.