Fail2Ban

Fail2ban-client status jail (nachfolgend ein Beispiel): fail2ban-client status courierlogin Status for the jail: courierlogin |- filter | |- File list: /var/log/mail | |- Currently failed: 0 | `- Total failed: 19 `- action

  |- Currently banned: 1
  |  `- IP list:       61.164.113.116
  `- Total banned:     1

  Freischalten von gebannten IPs: fail2ban-client set courierlogin unbanip 61.164.113.116 61.164.113.116

fail2ban-client status proftpd fail2ban-client set proftpd unbanip *.*.*.*

fail2ban-client status sshd fail2ban-client set sshd unbanip *.*.*.*

fail2ban-client status sendmaillogin fail2ban-client set sendmaillogin unbanip *.*.*.*

fail2ban-client status courierlogin fail2ban-client set courierlogin unbanip *.*.*.*

fail2ban-client status apache-ddos fail2ban-client set apache-ddos unbanip *.*.*.*

fail2ban-client status apache-joomla fail2ban-client set apache-joomla unbanip *.*.*.*

Fail2Ban Whitelist: vi /etc/fail2ban/jail.local

ignoreip = 127.0.0.1/8 176.9.84.48 176.9.124.50 144.76.41.166 84.253.15.193 85.10.203.24 213.133.109.162 88.198.68.99

Bei CH IP Adressen: /usr/local/bin/geoiplookup 176.127.66.2

Wenn dies nicht als CH erkannt wird (weil GEOIP zu alt): Range in fail2ban/jail.local eintragen

Folgend die Dienste (Jails genannt) und die Zeiten, die überwacht werden: Courierlogin: 15 falsche Loginversuche innert 2 min -> Gesperrt für 12h Sendmaillogin: 250 Mails versendet innerhalb von 1h -> Gesperrt für 12h Sshd: 15 falsche Loginversuche innert 2 min -> Gesperrt für 10min Proftpd: 6 falsche Loginversuche innert 10 min -> Gesperrt für 1h Apache-ddos: 1000 Elemente (html, Bilder, js, …) innert 2 min abgerufen -> Gesperrt für 10 min