Blog

Ubuntu Server: SSH mit Fail2ban absichern

  • Beitrags-Autor:
  • Beitrags-Kategorie:Server

Fail2Ban ist eine Software, die hilft, einen Ubuntu-Server vor Brute-Force-Angriffen und anderen bösartigen Aktivitäten zu schützen. In diesem Beitrag werde ich erklären, wie man Fail2Ban installiert und konfiguriert, um einen Ubuntu-Server abzusichern.

Schritt 1: Installation von Fail2Ban

Die Installation von Fail2Ban ist einfach und unkompliziert. Öffnen Sie das Terminal und geben Sie den folgenden Befehl ein, um Fail2Ban zu installieren:

sudo apt update
sudo apt install fail2ban

Schritt 2: Erstellen einer Konfigurationsdatei

Als erstes müssen Sie eine neue Konfigurationsdatei für den zu überwachenden Dienst erstellen. Die Konfigurationsdateien für Fail2Ban werden normalerweise im Verzeichnis /etc/fail2ban/jail.d/ gespeichert. Sie können die Datei jedoch auch an einem anderen Ort speichern, wenn Sie das möchten.

Zum Erstellen einer neuen Konfigurationsdatei für den Dienst öffnen Sie das Terminal Ihres Servers und geben folgenden Befehl ein:

 sudo nano /etc/fail2ban/jail.d/ssh.conf

Öffnen Sie die neu erstellte Konfigurationsdatei in einem Texteditor wie Nano oder Vim. Die Konfigurationsdatei sollte mit einer Überschrift beginnen, die den Namen des Dienstes angibt, gefolgt von den Optionen für den Dienst.

Hier ist ein Beispiel für eine Konfigurationsdatei für den SSH-Dienst:

[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600

Hier wird der SSH-Dienst überwacht. Die Optionen enabled, port, filter, logpath, maxretry und bantime sind alle selbsterklärend:

  • enabled: Schaltet die Überwachung für den Dienst ein oder aus.
  • port: Der Port, auf dem der Dienst läuft.
  • filter: Der Name der Filterdatei, die für diesen Dienst verwendet wird. In diesem Fall wird die Filterdatei sshd.conf verwendet.
  • logpath: Der Pfad zur Logdatei, die vom Dienst verwendet wird.
  • maxretry: Die maximale Anzahl von fehlgeschlagenen Login-Versuchen, bevor eine IP-Adresse blockiert wird.
  • bantime: Die Zeit in Sekunden, für die eine IP-Adresse blockiert wird.

Sobald Sie die Konfigurationsdatei bearbeitet haben, speichern Sie sie mit dem Befehl Ctrl + O .

Schritt 3: Aktivierung von Fail2Ban

Nachdem Sie die Konfiguration abgeschlossen haben, müssen Sie Fail2Ban aktivieren und den Dienst starten. Geben Sie die folgenden Befehle in das Terminal ein:

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Der erste Befehl aktiviert Fail2Ban, sodass es beim Systemstart automatisch gestartet wird, während der zweite Befehl den Dienst sofort startet.

Schritt 4: Überprüfung der Fail2Ban-Protokolle

Um sicherzustellen, dass Fail2Ban ordnungsgemäß funktioniert, können Sie das Protokoll von Fail2Ban überprüfen. Das Protokoll wird normalerweise in der Datei /var/log/fail2ban.log gespeichert. Sie können diese Datei mit dem folgenden Befehl im Terminal öffnen:

sudo nano /var/log/fail2ban.log

Dies öffnet das Protokoll in einem Texteditor. Wenn Fail2Ban eine IP-Adresse gesperrt hat, wird dies im Protokoll angezeigt.

Übersicht der gebannten IP-Adressen

Sie können die Statistiken der gebannten IP-Adressen für SSH in Fail2Ban über das fail2ban-client-Werkzeug anzeigen. Sie können es auf der Befehlszeile verwenden, um verschiedene Informationen über Fail2Ban anzuzeigen, einschließlich der Statistiken der gebannten IP-Adressen.

Um die Statistik der gebannten IP-Adressen für SSH anzuzeigen, geben Sie den folgenden Befehl in der Befehlszeile ein:

sudo fail2ban-client status sshd | grep "Banned IP list:"

Dies zeigt die Anzahl der gebannten IP-Adressen und eine Liste der IP-Adressen an, die derzeit gebannt sind.

Alternativ können Sie auch den folgenden Befehl eingeben, um eine detailliertere Statistik anzuzeigen:

sudo fail2ban-client status sshd

Dies zeigt Ihnen eine ausführlichere Zusammenfassung aller derzeitigen Aktivitäten in der Fail2Ban-Instanz, einschließlich der Anzahl der gebannten IP-Adressen.

Darüber hinaus gibt es auch ein Web-UI-Tool namens „Fail2ban-dashboard“, das Ihnen detaillierte Statistiken und Berichte über Fail2Ban-Aktivitäten auf Ihrem Server zur Verfügung stellt. Sie können es installieren und konfigurieren, um eine einfachere Visualisierung der Statistiken der gebannten IP-Adressen für SSH und andere Dienste zu erhalten.

Fazit:

Fail2Ban ist eine effektive Möglichkeit, um einen Ubuntu-Server vor bösartigen Aktivitäten zu schützen. Mit dieser Anleitung sollten Sie in der Lage sein, Fail2Ban erfolgreich zu installieren und zu konfigurieren. Es ist jedoch wichtig, die Konfiguration an die spezifischen Anforderungen Ihres Servers anzupassen.