Fail2Ban

Aktuelle Version vom 24. April 2014, 14:55 Uhr

[Bearbeiten] Client-Status:

Fail2ban-client status jail (nachfolgend ein Beispiel): fail2ban-client status courierlogin Status for the jail: courierlogin |- filter | |- File list: /var/log/mail | |- Currently failed: 0 | `- Total failed: 19 `- action

  |- Currently banned: 1
  |  `- IP list:       61.164.113.116
  `- Total banned:     1

[Bearbeiten] Freischalten von gebannten IPs:

fail2ban-client set courierlogin unbanip 61.164.113.116

fail2ban-client status proftpd
fail2ban-client set proftpd unbanip *.*.*.*

fail2ban-client status sshd
fail2ban-client set sshd unbanip *.*.*.*

fail2ban-client status sendmaillogin
fail2ban-client set sendmaillogin unbanip *.*.*.*

fail2ban-client status courierlogin
fail2ban-client set courierlogin unbanip *.*.*.*

fail2ban-client status apache-ddos
fail2ban-client set apache-ddos unbanip *.*.*.*

fail2ban-client status apache-joomla
fail2ban-client set apache-joomla unbanip *.*.*.*

[Bearbeiten] Fail2Ban Whitelist:

vi /etc/fail2ban/jail.local

ignoreip = 127.0.0.1/8 176.9.84.48 176.9.124.50 144.76.41.166 84.253.15.193 85.10.203.24 213.133.109.162 88.198.68.99

[Bearbeiten] Bei CH IP Adressen:

/usr/local/bin/geoiplookup 176.127.66.2

Wenn dies nicht als CH erkannt wird (weil GEOIP zu alt): Range in fail2ban/jail.local eintragen

Folgend die Dienste (Jails genannt) und die Zeiten, die überwacht werden: Courierlogin: 15 falsche Loginversuche innert 2 min -> Gesperrt für 12h Sendmaillogin: 250 Mails versendet innerhalb von 1h -> Gesperrt für 12h Sshd: 15 falsche Loginversuche innert 2 min -> Gesperrt für 10min Proftpd: 6 falsche Loginversuche innert 10 min -> Gesperrt für 1h Apache-ddos: 1000 Elemente (html, Bilder, js, …) innert 2 min abgerufen -> Gesperrt für 10 min