Das fail2ban-Tool überwacht Ihre Protokolldateien und handelt, sobald es schädliches Verhalten entdeckt, so, wie Sie es ihm gesagt haben. Ein häufiger Anwendungsfall ist das Blockieren bösartiger IP-Adressen durch das Erstellen von Firewall-Regeln im Handumdrehen mithilfe von iptables.
Dies ist ein Tool, das dazu dient, eine Vielzahl von Diensten wie SSH, FTP, SMTP, Apache und viele mehr vor unerwünschten Besuchern zu schützen. Es funktioniert, indem es Protokolldateien nach Mustern liest, die auf fehlgeschlagenen Anmeldeversuchen basieren, und behandelt die anstößigen IP-Adressen entsprechend. Natürlich haben Sie Ihren SSH-Server oder einen anderen Dienst möglicherweise bereits auf direkter Anwendungsebene gehärtet, aber mit diesem Rezept soll gezeigt werden, dass angesichts der Möglichkeit von Brute-Force-Angriffen eine zusätzliche Schutzebene immer nützlich ist .
fail2ban auf Ubuntu deinstallieren
Trotz der von fail2ban bereitgestellten Funktionen möchten Sie das Paket möglicherweise dennoch deinstallieren. Gehen Sie dazu wie folgt vor:
1. Entfernen Sie das Paket fail2ban:
$ sudo apt-get remove fail2ban
2. Deinstallieren Sie fail2ban einschließlich des abhängigen Pakets. Wenn Sie fail2ban und seine abhängigen Pakete entfernen möchten, die nicht mehr von Ubuntu benötigt werden,
$ sudo apt-get remove --auto-remove fail2ban
Fail2ban löschen
Wenn Sie mit Löschoptionen das Paket fail2ban verwenden, werden alle Konfigurations- und abhängigen Pakete entfernt.
$ sudo apt-get purge fail2ban
Wenn Sie Löschoptionen zusammen mit der automatischen Entfernung verwenden, wird alles entfernt, was das Paket betrifft. Dies ist wirklich nützlich, wenn Sie es erneut installieren möchten.
$ sudo apt-get purge --auto-remove fail2ban
Fail2ban in Ubuntu neu installieren
Die Installation und Konfiguration von Fail2ban ist relativ einfach. Installieren Sie zuerst sein Paket:
$ sudo apt install fail2ban
Nach der Installation wird der Fail2ban-Daemon gestartet und so konfiguriert, dass er beim Booten automatisch gestartet wird. Die Konfiguration von fail2ban besteht lediglich darin, eine Konfigurationsdatei zu erstellen. Am einfachsten beginnen Sie damit, eine Kopie von jail.conf zu erstellen und sie als jail.local:
zu speichern$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Bearbeiten Sie die Konfigurationsdatei /etc/fail2ban/jail.local gemäß Ihren Anforderungen und starten Sie den fail2ban-Dienst neu:
$ sudo systemctl restart fail2ban $ sudo systemctl status -l fail2ban
Schlussfolgerung
Fail2Ban ist ein Drittanbieterprogramm, das im Hintergrund läuft und Protokolle überwacht. Wenn bestimmte Protokollzeilen (z. B. die zuvor gezeigte Authentifizierungs-Challenge-Zeile) eine bestimmte Anzahl von Malen angezeigt werden, ergreift Fail2Ban eine Aktion. Es kann so programmiert werden, dass es Ihnen eine E-Mail mit einer Warnung sendet oder automatisch IPTables verwendet, um eine anstößige IP-Adresse zu blockieren, nachdem zu viele Versuche innerhalb eines bestimmten Zeitraums unternommen wurden.