fail2ban ähnlich wie [[DenyHosts]] {{tag>/etc/hosts.deny ssl ssh securtity Python /var/log/auth.log}} Quelle((http://www.heise.de/security/SSH-vor-Brute-Force-Angriffen-schuetzen--/artikel/142155/2)) fail2ban nutzt iptables, um IP-Adressen zu blockieren. Nutzt Regeln INPUT-Chain und legt eine neue Chain an mit einer DROP-Regel zu jedem blockierten Host. fail2ban kann Wrapper-Technik & ipfw. Kann nicht nur SSH schützen, sondern auch FTP- und Mailserver. apt-get install fail2ban Standardmäßig sind aber nur Regeln für SSH aktiv. In der Konfigurationsdatei jail.conf im Verzeichnis /etc/fail2ban sind aber Regeln für weitere Dienste vordefiniert, die man bei Bedarf nur noch aktivieren muss. Wie DenyHost sucht auch fail2ban mittels regulärer Ausdrücke nach Hinweisen auf fehlgeschlagene Anmeldeversuche in /var/log/auth.log. Problem: Ubunti schreibt wie WH in log-file: "last message repeated x times". Das verwirrt fail2ban (nur 1. Versuch zählt). -> viele mehr Fehlversuche erlaubt Abhilfe vielleicht: Syslog-Kompression deaktivieren (fasst gleichlautende Meldungen zusammen) ABER: Standard-Syslog-Dienst unterstützt Ausschalten nicht. DenyHosts hat Problem nicht (bessere regex) Workaround: Konfiguration SSH-Daemons: Zahl der erlaubten Fehlversuche heruntersetzen (z.B. 2) & den fail2ban-Einstellungen die Zahl der max.Wiederholungen auch auf z.B. 2 runter. (Dann: 2x2 = max. 4 Fehlversuche) Gegenüber DenyHosts hat fail2ban indes den Vorteil, dass es gesperrte Hosts automatisch entsperren kann. Die Option bantime = 1200 löscht die blockierende iptables-Regel nach 20 Minuten automatisch.