IPv6 verbreitet sich immer mehr. Leider nehmen auch die BruteFroce Angriffe zu. Wer jetzt fail2ban mit IPv6 Unterstützung Out of the Box nutzen möchte, derjenige kann jetzt zur aktuellen fail2ban Version v0.11.0.dev2 greifen.
Mein Beispiel bezieht sich auf Debian8/9. Unter Debian7 gibt es Probleme mit iptables Parametern, wie z.B. wird “-w” nicht unterstützt.
Alte fail2ban Version vom System entfernen
apt-get purge fail2ban
Bitte beachten das alle Scripte und Einstellungen von fail2ban entfernt werden. Dies ist notwendig, damit es nicht zu Überschneidungen kommt. Fail2ban nutzt in der Neuen Version teilweise auch einen anderen Syntax.
Benötigte Pakete installieren
apt-get update && apt-get install python git gamin
Neue Fail2ban Version von Github besorgen
git clone https://github.com/fail2ban/fail2ban.git
Fail2ban installieren
Ins runtergeladene Verzeichnis wechseln:
cd fail2ban
Mit Python fail2ban installieren:
python setup.py install
systemd Script kopieren:
cp files/fail2ban.service /etc/systemd/system/
systemd Script anpassen:
nano /etc/systemd/system/fail2ban.service
In der Sektion [Service] die Pfade zu den Scripen ändern:
von …/usr/bin/… zu …/usr/local/bin/…
Entgegen der Anleitung auf Github liegen die Scripte in /usr/local/bin. Testen kann man das so:
ls -l /usr/local/bin/fail2*
jail.conf anpassen:
nano /etc/fail2ban/jail.conf
Beipiel für SSH
enabled = true
[sshd]
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
Mehrere Ports angeben:
port = ssh,222
Fail2ban starten:
systemctl start fail2ban
Fail2ban Status:
systemctl status fail2ban
Jetzt sollte alles wie gewohnt funkionieren und in der Firewall unter iptables und ip6tables die Chain f2b-sshd auftauchen.
Fail2ban in Verbindung mit Firewall Script
Fail2ban kommt leider immer mit eigenen Firewall Scripen in die Quere. Fail2ban muss nach dem die Firewall geladen ist, starten.
Den Autostart von Fail2ban deaktivieren:
systemctl disable fail2ban
Überprüfen kann man das so:
systemctl is-enabled fail2ban
Muss dann disable angezeigt werden.
In /etc/systemd/system/multi-user.target.wants/
dürfen auch keine Symlinks zu /etc/systemd/system/fail2ban.service
existieren!
In der Regel kommen bei Erstinstallation im darüber genannten Fall keine Symlinks vor.
Wer die Fail2ban Version schon ausgiebig genutzt hat, kann gerne ein paar Erfahrungen in die Kommentare schreiben.
Hi,
lokale, nicht über die Paketverwaltung installierte systemd-Units sollte man besser nach /etc/systemd/system/ packen. Sagt der Standard.
Gruß
killermoehre
Hallo, ja völlig korrekt! Ist ausgebessert.