Jack Wallen führt Sie durch den Installationsprozess von fail2ban auf Ubuntu Server 22.04, um böswillige Anmeldeversuche zu verhindern.
Fail2ban ist eines der ersten Dinge, die Sie auf Ihren neuen Linux-Serverbereitstellungen installieren sollten. Nach der Bereitstellung verhindert fail2ban böswillige und Brute-Force-Login-Angriffe und kann zur Überwachung von Protokollen wie HTTP, SSH und FTP verwendet werden.
Wenn fail2ban einen böswilligen Anmeldeversuch erkennt, blockiert es automatisch die angreifende IP-Adresse, sodass jeder, der den Angriff versucht, daran gehindert wird, sich Zugang zu verschaffen.
Ich werde Sie durch den Prozess der Installation von fail2ban auf der neuesten Version von Ubuntu Server (22.04, auch bekannt als Jammy Jellyfish) führen.
Was Sie brauchen
Die einzigen Dinge, die Sie brauchen, um fail2ban zum Laufen zu bringen, sind eine Instanz von Ubuntu Server 22.04 und ein Benutzer mit sudo-Berechtigungen.
Das ist es:Lassen Sie uns diesen Server sichern.
Pflichtlektüre für Entwickler
Wie installiert man fail2ban
Die Installation von fail2ban ist denkbar einfach. Melden Sie sich bei Ihrer Ubuntu Server-Instanz an und führen Sie den folgenden Befehl aus:
sudo apt-get install fail2ban -y
Starten und aktivieren Sie den Dienst fail2ban mit:
sudo systemctl enable --now fail2ban
Wenn Sie die UFW-Firewall ausführen – und das sollten Sie auch –, müssen Sie möglicherweise SSH-Datenverkehr zum Server mit dem folgenden Befehl zulassen:
sudo ufw allow ssh
So konfigurieren Sie fail2ban
Fail2ban hängt von ein paar verschiedenen Dateien und Verzeichnissen ab, die sind:
- fail2ban.conf – die Hauptkonfigurationsdatei
- jail.conf – eine beispielhafte Jail-Konfiguration
- action.d – enthält verschiedene fail2ban-Aktionskonfigurationen für Dinge wie Mail und Firewall
- jail.d – enthält zusätzliche fail2ban-Jail-Konfigurationen
Wir werden eine neue Datei, jail.local, erstellen und fail2ban konfigurieren, um böswillige SSH-Anmeldungen zu verhindern.
Erstellen Sie die neue Datei mit:
sudo nano /etc/fail2ban/jail.local
Fügen Sie in dieser Datei den folgenden Inhalt ein:
[sshd] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3 findtime = 300 bantime = 28800 ignoreip = 127.0.0.1
Hier ist die Beschreibung des Obigen:
- enabled – aktiviert das Jail
- port – der Port, auf den fail2ban lauscht
- filter – der eingebaute Filter wird von fail2ban verwendet
- logpath – das Verzeichnis, das das fail2ban-Log enthält
- maxretry – die zulässige Anzahl fehlgeschlagener Versuche, bevor eine IP blockiert wird
- findtime – die Zeitspanne zwischen fehlgeschlagenen Anmeldeversuchen
- bantime – Anzahl der Sekunden, für die eine IP-Adresse gesperrt ist
- ignoreip – eine IP-Adresse, die von fail2ban ignoriert werden soll
Speichern und schließen Sie die Datei.
Starten Sie fail2ban neu mit:
sudo systemctl restart fail2ban
Wie man fail2ban testet
Melden Sie sich bei einem anderen Computer an und versuchen Sie, sich über SSH beim Server mit fail2ban anzumelden. Achten Sie darauf, das Passwort dreimal falsch einzugeben.
Nach dem dritten Versuch sperrt SSH Sie und Sie müssen die Tastenkombination STRG + C verwenden, um zur Eingabeaufforderung zurückzukehren. Wenn Sie versuchen, sich erneut über SSH anzumelden, wird Ihnen eine Fehlermeldung angezeigt, dass die Verbindung abgelehnt wurde.
So entsperren Sie eine IP-Adresse
Nach dem Testen möchten Sie möglicherweise die von Ihnen verwendete IP-Adresse entsperren. Stellen Sie mit dem Befehl sicher, dass Sie eine gesperrte IP haben:
sudo fail2ban-client status sshd
Sie sollten etwas wie das Folgende sehen:
Status for the jail: sshd
|- Filter | |- Currently failed: 0 | |- Total failed: 3 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 1 |- Total banned: 1 `- Banned IP list: 192.168.1.40
Um die IP-Adresse 192.168.1.40 zu entsperren, geben Sie den folgenden Befehl ein:
sudo fail2ban-client set sshd unbanip 192.168.1.40
Sie sollten die Nummer eins ausgedruckt sehen, denn so viele IP-Adressen haben Sie gerade entbannt.
Sie können eine IP auch manuell mit dem Befehl sperren:
sudo fail2ban-client set sshd banip 192.168.1.40
Herzlichen Glückwunsch, Sie haben fail2ban erfolgreich installiert und konfiguriert, um unerwünschte SSH-Anmeldungen an Ihre Ubuntu Server-Instanz zu blockieren.