Website-Suche

So installieren und konfigurieren Sie fail2ban für noch mehr SSH-Sicherheit


Wenn Sie Ihrem Linux-Desktop oder -Server eine zusätzliche Sicherheitsebene hinzufügen möchten, ist fail2ban eine großartige Option, um unerwünschte SSH-Anmeldungen zu verhindern.

SSH ist für viele Linux-Benutzer unerlässlich, da es die Möglichkeit bietet, sich bei Remote-Servern und Desktops anzumelden, um verschiedene Verwaltungsaufgaben zu erledigen. Und obwohl SSH wesentlich sicherer ist als das, was es ersetzt hat (Telnet), ist es allein keine Garantie.

Beispielsweise wird ein Brute-Force-Angriff Ihren Computer mit Anmeldeversuchen bombardieren, bis die Anmeldeinformationen korrekt sind. Du willst nicht, dass das passiert.

Glücklicherweise gibt es eine Software, die dabei helfen kann, solche Probleme zu vermeiden. Die entsprechende Software heißt fail2ban und kann IP-Adressen, die für unerwünschte Anmeldeversuche verwendet werden, automatisch blockieren. 

Lassen Sie mich Sie durch den Prozess der Installation und Konfiguration von fail2ban führen.

So installieren Sie fail2ban

Was Sie brauchen: Ich werde dies auf einem Ubuntu-basierten Desktop demonstrieren. Wenn Sie einen Fedora-basierten Desktop verwenden, müssen Sie nur den Installationsbefehl ändern (Wechsel von apt-get zu dnf). 

Sie benötigen also eine laufende Instanz einer beliebigen Ubuntu-basierten Distribution und einen Benutzer mit Sudo-Berechtigungen. Das ist alles. Kommen wir zur Installation.

1. Öffnen Sie ein Terminalfenster

Fail2ban muss über das Terminalfenster installiert werden. Öffnen Sie also Ihre bevorzugte Terminalfenster-App und bereiten Sie die Installation vor.

2. Installieren Sie die App

Um fail2ban zu installieren, geben Sie den folgenden Befehl ein:

sudo apt-get install fail2ban -y

3. Starten Sie den Dienst

Starten und aktivieren Sie nach Abschluss der Installation den fail2ban-Dienst mit dem folgenden Befehl:

sudo systemctl enable --now fail2ban

Fail2ban konfigurieren

Wir werden eine neue, für SSH spezifische Konfigurationsdatei erstellen, die den Port, den Filter, den Protokollpfad, die Anzahl der zulässigen Fehlversuche, bevor eine IP-Adresse blockiert wird (maxretry), und die Zeitspanne zwischen fehlgeschlagenen Anmeldeversuchen ( findtime), die Anzahl der Sekunden, für die eine IP-Adresse gesperrt ist (bantime), und eine IP-Adresse (die Loopback-Adresse – also 127.0.0.1), die fail2ban ignoriert.

Erstellen Sie die Datei mit dem Befehl:

sudo nano /etc/fail2ban/jail.local

Fügen Sie in diese Datei Folgendes ein:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
findtime = 300
bantime = 28800
ignoreip = 127.0.0.1

Speichern und schließen Sie die Datei. Starten Sie dann den fail2ban-Dienst neu mit: 

sudo systemctl restart fail2ban

Wobei IP die gesperrte IP-Adresse ist. Um fail2ban zu deaktivieren, gehen Sie zu einem anderen Computer in unserem Netzwerk und versuchen Sie, sich bei dem Computer anzumelden, auf dem fail2ban ausgeführt wird. Geben Sie dreimal das falsche Passwort ein und die IP-Adresse dieses Geräts wird blockiert. Wenn Sie einen vierten Anmeldeversuch unternehmen, schlägt dieser fehl.

Sie können die Sperrung dieser IP-Adresse (von dem Computer aus, von dem aus Sie sich ursprünglich angemeldet haben) mit dem folgenden Befehl aufheben:

sudo fail2ban-client set sshd unbanip IP

Und das ist alles, was Sie tun müssen, um Ihrem System eine weitere Sicherheitsebene hinzuzufügen. Sie können jetzt darauf vertrauen, dass unerwünschte SSH-Anmeldungen blockiert und die betreffenden IP-Adressen gesperrt werden.