Mit Fail2Ban einen Server absichern

Zuletzt aktualisiert am: 29.06.2023

Vorbereitungen

1. Öffnen Sie auf Ihrem PC ein Terminal. Unter Windows können Sie dafür das Windows Terminal oder die Eingabeaufforderung benutzen. Unter Linux einfach das normale Terminal.
2. Verbinden Sie sich nun auf Ihrem V- oder Root-Server über SSH mit diesem Befehl: ssh benutzername@server
3. Bringen Sie das System auf den neusten Stand: apt update && apt upgrade -y
4. Installieren Sie Fail2ban: apt -y install fail2ban

Konfiguration und Log auslesen

1. Kopieren Sie die Standardkonfiguration von Fail2Ban, damit bei einem Update jene nicht überschrieben wird: cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.d/jail.conf
2. Editieren Sie diese Konfiguration nun: nano /etc/fail2ban/jail.d/jail.conf
3. Passen Sie nun die Konfiguration an folgenden Stellen so an: [DEFAULT]
bantime = 3h
findtime = 10m
maxretry = 3

[sshd]
enabled = true
port = ssh

[apache-xxx]
enabled = true

[nginx-xxx]
enabled = true

...
   Information
   Setzen Sie den Wert enabled = true nur bei den Diensten, welche Sie auf dem Server installiert haben.

   Wert	Beschreibung
   bantime	Wie lange eine IP gesperrt werden soll.
   findtime	Zeitspanne für die Fehlversuche
   maxretry	Maximale Fehlversuche, bevor die IP gesperrt wird.

   In diesem Beispiel würde jetzt eine IP mit 3 Fehlversuchen innerhalb von 10 Minuten für 3 Stunden gesperrt werden.
4. Drücken Sie nun STRG+X, Y und ENTER um den Editor zu verlassen.
5. Starten Sie nun den Fail2Ban Dienst neu: systemctl restart fail2ban
6. Aktivieren Sie ebenfalls den Autostart von Fail2Ban: systemctl enable fail2ban
7. Fail2Ban ist nun installiert und konfiguriert. Sie können das Fail2Ban Log mit folgendem Befehl auslesen: tail /var/log/fail2ban.log. Dort werden Ihnen alle Fehlversuche und IP-Blockierungen angezeigt
8. Um eine IP Adresse zu entbannen, wird dieser Befehl genutzt: fail2ban-client unbanip 1.2.3.4
   Information
   Die IP 1.2.3.4 durch die zu entsperrende IP ersetzen.