fail2ban

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Artikel für fortgeschrittene Anwender

Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

  1. Installation von Programmen

  2. Eine Fremdquelle aktivieren

  3. Root-Rechte erlangen

  4. Ein Terminal bedienen

  5. Einen Editor verwenden

  6. Secure Shell verwenden

  7. Logdateien lesen

  8. Regular-Expressions

Inhaltsverzeichnis
  1. Installation
  2. Konfiguration
  3. Weitere Informationen
  4. Eigene Definitionen
  5. Problembehebung
  6. Links

fail2ban 🇬🇧 ist ein Set aus Client, Server und Konfigurationsdateien, welches Logdateien überwacht, dort nach vordefinierten Mustern sucht und nach diesen temporär IP-Adressen sperrt. Es ist unter der GNU General Public License Version 2 🇬🇧 veröffentlicht und basiert auf Python.

Ziel des Programms ist, alle Serverdienste gegen Angriffe des Typs Denial of Service (DoS) abzusichern. Allerdings darf man nicht vergessen, dass die Grundfunktion (Sperren einzelner IP-Adressen) insbesondere bei "Distributed Denial of Service"-Angriffen (DDoS) durch Bot-Netze an ihre Grenzen stoßen kann.

Installation

Folgendes Paket kann aus den offiziellen Paketquellen installiert werden [1]:

Wiki/Vorlagen/Installbutton/button.png mit apturl

Paketliste zum Kopieren:

sudo apt-get install fail2ban 

sudo aptitude install fail2ban 

Nach der Installation stehen folgende Programme zur Verfügung:

Fremdquelle

Über NeuroDebian 🇬🇧 kann eine Fremdquelle [2] eingerichtet werden, die aktuellere Versionen bereitstellt.

Hinweis!

Zusätzliche Fremdquellen können das System gefährden.

Ohne Installation

Als Python-Skript kann fail2ban ohne Installation oder Kompilierung ausgeführt werden. Dafür sind Root-Rechte[3] oder ein speziell eingerichteter Benutzer erforderlich, um Zugriff auf iptables oder die Routingtabelle via ip zu haben.

Konfiguration

Hinweis:

fail2ban liest Konfigurationsdateitypen mit den Endungen .conf und .local. Dateien mit der Endung .conf werden bei der Installation erstellt und können bei einem Paketupgrade überschrieben werden, daher sind alle Änderungen in entsprechenden .local-Dateien vorzunehmen. In diesen müssen lediglich geänderte Werte gespeichert werden, die von den Voreinstellungen abweichen.

fail2ban hat drei Konfigurationsdateitypen:

  1. /etc/fail2ban/action.d/*.conf/*.local

  2. /etc/fail2ban/filter.d/*.conf/*.local

  3. /etc/fail2ban/jail.d/*.conf/*.local

Alle Konfigurationsdateien folgen dem Ini-Format:

Die Datei jail.conf kombiniert Actions und Filter zu einem Jail. Auch hier gilt, dass Benutzerdateien mit der Endung .local gespeichert werden sollen.

fail2ban.local

In der Datei /etc/fail2ban/fail2ban.local werden grundlegende Dinge eingestellt. Im Normalfall reichen die Voreinstellungen aus.

Optionen der fail2ban.local
Eintrag Beschreibung Standardwert
[Definition]
loglevel Mitteilungsfreude einstellen: 4=DEBUG, 3=INFO, 2=WARN, 1=ERROR. loglevel = 3
logtarget logtarget kann eine selbst angegebene Datei sein oder eine der folgenden Werte: STDOUT, STDERR, SYSLOG logtarget=STDERR
socket Hier lässt sich die Socket-Datei aus /var/run/ umbenennen. socket = /var/run/fail2ban/fail2ban.sock
pidfile Hier lässt sich die Prozess-ID-Datei aus /var/run/ umbenennen. pidfile = /var/run/fail2ban/fail2ban.pid

jail.local

In der Datei jail.local werden alle von der jail.conf abweichenden Einträge eingestellt. Man kann diese auch kopieren und als Grundlage für eine eigene jail.local nutzen. Jedoch müssen auch hier nur geänderte Werte eingetragen werden. Ein Minimalbeispiel:

[sshd]
enabled = true

Es wird lediglich der SSH-Filter aktiviert. Eine Übersicht der möglichen Werte bietet die jail.conf und die nachfolgende Tabelle.

Übersicht der Optionen
Eintrag Beschreibung Beispiel
[DEFAULT]
ignoreip Leerzeichenseparierte Liste von zu ignorierenden IPs oder Netzwerken. ignoreip = 127.0.0.1/8 192.168.1.33
bantime Bannzeit in Sekunden. Ein negativer Wert ist ein permanenter Bann. bantime = 86400
findtime Die Anzahl der Sekunden nach dem der Zähler für maxretry zurückgesetzt wird. findtime = 660
maxretry Die maximale Anzahl an Fehlversuchen, bevor fail2ban die IP bannt. maxretry = 2
backend Hier kann das backend, wie z.B. systemd eingestellt werden. Voreinstellung ist auto (empfohlen). backend = systemd
usedns Einstellung für das reverse-Lookup-Verhalten von fail2ban. Mögliche Werte sind yes, no und warn.
Letzteres bewirkt, dass Einträge mit Hostnamen eine Warnung ins Logfile geben, was u.U. zu sehr vielen Einträgen führt.
usedns = warn
[myJail] Hier kann der Name des jail vergeben werden. [ssh]
enabled (De-)Aktiviert das jail enabled = true
port Portdefinition, kann numerisch sein. Mehrere Werte werden durch Kommata getrennt. port = ssh
filter = sshd Name der Filterdatei /etc/fail2ban/filter.d/sshd.conf
logpath Die zu überwachende Logdatei, die auf den Filter geprüft wird. logpath = /var/log/auth.log
maxretry, bantime,... Abweichende Werte für die Default-Optionen können ebenfalls definiert werden. maxretry = 3

Action.local

Die Dateien im Verzeichnis /etc/fail2ban/action.d/ enthalten die Befehle zum (Ent-)Sperren von IP-Adressen. Action-Dateien enthalten zwei Sektionen: [Definition] und [Init]. Die Einträge in der [Init]-Sektion dienen zum Überschreiben der im Jail definierten Regeln. Die Beispiele der folgenden Tabelle sind der Aktion iptables-multiport-conf entnommen. Alle Befehle werden mit den Benutzerrechten von fail2ban ausgeführt.

Übersicht der Optionen
Eintrag Beschreibung Beispiel
[Definition]
actionstart Befehle, die beim Starten von fail2ban ausgeführt werden. actionstart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
actionstop Befehle, die beim Beenden von fail2ban ausgeführt werden. actionstop = iptables -D <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
iptables -F fail2ban-<name>[[BR]]iptables -X fail2ban-<name>
actioncheck Befehle, die vor jedem actionban ausgeführt werden. Diese dienen dazu die aktuelle Umgebung auf Funktionalität zu überprüfen. actioncheck = iptables -n -L <chain> | grep -q 'fail2ban-<name>[ \t]'
actionban Befehle, die beim Bannen einer IP ausgeführt werden. Die Bedingung lautet immer maxretry muss überschritten und findtime unterschritten sein. actionban = iptables -I fail2ban-<name> 1 -s <ip> -j <blocktype>
actionunban Befehle, die zum Entbannen benutzt werden sollen. actionunban = iptables -D fail2ban-<name> -s <ip> -j <blocktype>
[Init]
name Standardname der Kette name = default
port Port port = ssh
protocol Wird intern vom config reader genutzt. Mögliche Werte: tcp, udp, icmp, all. protocol = tcp
chain Die iptables-Kette zu der die fail2ban-Regeln hinzugefügt werden sollen. Standard ist INPUT. chain = INPUT
Action Tags Action Tags sind Platzhalter, welche in actionban, actionunban und actioncheck verwendet werden können.
ip Die zu bannende IPv4-Adresse.
failures Die Anzahl der gezählten Fehlversuche.
time Der Unix-Zeitstempel (Sekunden) des Banns.
matches Die verketteten Einträge aus den Zeilen des Logfiles, die zum Bann führen. Viele Shell-Zeichen werden escaped dargestellt.

Filter.local

Die Dateien im Verzeichnis /etc/fail2ban/filter.d/ enthalten die regulären Ausdrücke[6] zur Analyse der Logdateien und zum Extrahieren der IP-Adresse, bzw. bei Verwendung von usedns den Hostnamen. Es gibt in diesen Dateien nur zwei Sektionen: [Definition] und [Includes]. Letztere kann benutzt werden, um andere Konfigurationsdateien einzulesen.

Die Beispiele der folgenden Tabelle sind der Aktion iptables-multiport-conf entnommen. Alle Befehle werden mit den Benutzerrechten von fail2ban ausgeführt.

Übersicht der Optionen
Eintrag Beschreibung Beispiel
[Definition]
failregex Mit Hilfe dieses regulären Ausdrucks[6] werden die Logdateien nach Treffern durchsucht. Hier ist der Tag HOST verfügbar, welche als Teil der regex benutzt wird und den Hostnamen, bzw. die IP-Adresse enthält. Die Unterscheidung zwischen IP-Adresse und Hostname wird von fail2ban automatisch ermittelt. failregex = ^%(__prefix_line)sFAIL: \S+ address from=<HOST>$
^%(__prefix_line)sFAIL: \S+ libwrap from=<HOST>$
ignoreregex Hier können Ausnahmen definiert werden, selbst wenn sie für die obige failregex gültig wäre. ignoreregex unterstützt String_interpolation, so dass man eigene Variablen mittels %(variablenname)s verwenden kann. ignoreregex =
[INCLUDES]
before Die Datei wird vor der Sektion [Definition] gelesen. Beispiel ist die common.conf before = common.conf
after Die Datei wird nach der Sektion [Definition] gelesen. after = example_after.local
Beispiel Nach Einbindung der common.conf steht _daemon zur Verfügung. Siehe /etc/fail2ban/filter.d/common.conf für mehr Details. _daemon = xinetd

Bannen mit ip route

Grundlegend kann fail2ban auf zwei Arten bannen: Mittels Paketfilterung über iptables (Standard) oder per Eintrag in der Routingtabelle mit ip. Der Vorteil von ip ist, dass keine Konflikte mit eigenen iptables-Regeln auftreten.

Die Umstellung erfolgt über die Datei /etc/fail2ban/action.d/route.conf, welche man ggf. mit einem Editor[4] und Root-Rechten erstellen muss. Dort definiert man das Bannverhalten:

[Definition]
actionban = ip route add unreachable IP
actionunban = ip route del unreachable IP

IP dient dabei ein Platzhalter. Dieser darf also nicht verändert werden.

In der Datei /etc/fail2ban/jail.local muss die Aktion nun über den Eintrag:

banaction = route

bekannt gemacht werden. Zum Übernehmen der Änderungen ist ein Neustart von fail2ban erforderlich.

Entbannen

Das Entbannen funktioniert über das Programm fail2ban-client:

fail2ban-client set <JAIL> unbanip <IP>
#Beispiel
fail2ban-client set ssh unbanip 192.168.16.33 

Weitere Informationen

Neustart

Status

fail2ban ohne Root-Rechte

Die Nutzung von fail2ban ohne Root-Rechte[3] ist möglich, wenn man einen eigenen Benutzer für fail2ban anlegt und diesem mittels visudo die nötigen Rechte für die verwendeten Befehle - welche dann auf die Benutzung von sudo umgestellt werden müssen - und natürlich den Zugriff auf die Logdateien gewährt.

Eigene Definitionen

Als Beispiel dient hier ein Jail für den klassischen HTTP-Statuscode 404.

Problembehebung

Bekannte Probleme

Bekannte Probleme, Erklärungen und Lösungen findet man in der FAQ 🇬🇧

vsftpd absichern

vsftpd mit PAM-Authenifizierung übermittelt Hostnamen in die /var/log/secure, welche auch standardmäßig von fail2ban überwacht wird. Durch Probleme bei der Namensauflösung kann es dazu kommen, dass der Filter fehlschlägt.

Die Lösung ist, vsftpd mittels des Eintrages

dual_log_enable=YES

auf zwei Logdateien umzustellen und fail2ban anzuweisen, statt der vordefinierten /var/log/secure die /var/log/vsftpd.log zu überwachen.

Intern

Extern