fail2ban
Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:
Du möchtest den Artikel für eine weitere Ubuntu-Version testen? Mitarbeit im Wiki ist immer willkommen! Dazu sind die Hinweise zum Testen von Artikeln zu beachten.
Artikel für fortgeschrittene Anwender
Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.
Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:
fail2ban 🇬🇧 ist ein Set aus Client, Server und Konfigurationsdateien, welches Logdateien überwacht, dort nach vordefinierten Mustern sucht und nach diesen temporär IP-Adressen sperrt. Es ist unter der GNU General Public License Version 2 🇬🇧 veröffentlicht und basiert auf Python.
Ziel des Programms ist, alle Serverdienste gegen Angriffe des Typs Denial of Service (DoS) absichern. Allerdings darf man nicht vergessen, dass die Grundfunktion (Sperren einzelner IP-Adressen) insbesondere bei "Distributed Denial of Service"-Angriffen (DDoS) durch Bot-Netze an ihre Grenzen stoßen kann.
Installation¶
Folgendes Paket kann aus den offiziellen Paketquellen installiert werden [1]:
fail2ban (universe)
Befehl zum Installieren der Pakete:
sudo apt-get install fail2ban
Oder mit apturl installieren, Link: apt://fail2ban
Nach der Installation stehen folgende Programme zur Verfügung:
fail2ban-server - der Server
fail2ban-client - Clientprogramm zur Konfiguration und Auswertung des Servers
fail2ban-regex - Programm zum Testen von Regular-Expressions[7]
Fremdquelle¶
Über NeuroDebian 🇬🇧 kann eine Fremdquelle [2] eingerichtet werden, die aktuellere Versionen bereitstellt.
Hinweis!
Zusätzliche Fremdquellen können das System gefährden.
Ohne Installation¶
Als Python-Script kann fail2ban ohne Installation oder Kompilierung ausgeführt werden. Dafür sind Root-Rechte[3] oder ein speziell eingerichteter Benutzer erforderlich, um Zugriff auf iptables oder die Routingtabelle via ip zu haben.
Konfiguration¶
Hinweis:
fail2ban hat zwei Konfigurationsdateitypen mit der Endung .conf und .local. Dateien mit der Endung .conf können bei einem Paketupgrade überschrieben werden, daher sind alle Änderungen in entsprechenden .local-Dateien vorzunehmen. In diesen müssen lediglich geänderte Werte gespeichert werden, die von den Voreinstellungen abweichen.
fail2ban hat drei Konfigurationsdateitypen:
/etc/fail2ban/action.d/*.conf/*.local
/etc/fail2ban/filter.d/*.conf/*.local
/etc/fail2ban/jail.d/*.conf/*.local
Alle Konfigurationsdateien folgen dem Ini-Format:
"Actions" - Kommandos zum Bannen und Entbannen von IP-Adressen
"Filter" - Suchmuster
Die Datei jail.conf kombiniert Actions und Filter zu einem Jail. Auch hier gilt, dass Benutzerdateien mit der Endung .local gespeichert werden sollen.
fail2ban.local¶
In der Datei /etc/fail2ban/fail2ban.local werden grundlegende Dinge eingestellt. Im Normalfall reichen die Voreinstellungen aus.
| Optionen der fail2ban.local | ||
| Eintrag | Beschreibung | Standardwert |
| [Definition] | ||
| loglevel | Mitteilungsfreude einstellen: 4=DEBUG, 3=INFO, 2=WARN, 1=ERROR. | loglevel = 3 |
| logtarget | logtarget kann eine selbst angegebene Datei sein oder eine der folgenden Werte: STDOUT, STDERR, SYSLOG | logtarget=STDERR |
| socket | Hier läßt sich die Socket-Datei aus /var/run/ umbenennen. | socket = /var/run/fail2ban/fail2ban.sock |
| pidfile | Hier läßt sich die Prozess-ID-Datei aus /var/run/ umbenennen. | pidfile = /var/run/fail2ban/fail2ban.pid |
jail.local¶
In der Datei jail.local werden alle von der jail.conf abweichenden Einträge eingestellt. Man kann diese auch kopieren und als Grundlage für eine eigene jail.local nutzen. Jedoch müssen auch hier nur geänderte Werte eingetragen werden. Ein Minimalbeispiel:
[ssh] enable = true
Es wird lediglich der SSH-Filter aktiviert. Eine Übersicht der möglichen Werte bietet die jail.conf und die nachfolgende Tabelle.
| Übersicht der Optionen | ||
| Eintrag | Beschreibung | Beispiel |
| [DEFAULT] | ||
| ignoreip | Leerzeichenseparierte Liste von zu ignorierenden IPs oder Netzwerken. | ignoreip = 127.0.0.1/8 192.168.1.33 |
| bantime | Bannzeit in Sekunden. Ein negativer Wert ist ein permanenter Bann. | bantime = 86400 |
| findtime | Die Anzahl der Sekunden nach dem der Zähler für maxretry zurückgesetzt wird. | findtime = 660 |
| maxretry | Die maximale Anzahl an Fehlversuchen, bevor fail2ban die IP bannt. | maxretry = 2 |
| backend | Hier kann das backend, wie z.B. systemd eingestellt werden. Voreinstellung ist auto (empfohlen). | backend = systemd |
| usedns | Einstellung für das reverse-Lookup-Verhalten von fail2ban. Mögliche Werte sind yes, no und warn. Letzteres bewirkt, dass Einträge mit Hostnamen ein Warning ins Logfile geben, was u.U. zu sehr vielen Einträgen führt. | usedns = warn |
| [myJail] | Hier kann der Name des jail vergeben werden. | [ssh] |
| enabled | (De-)Aktiviert das jail | enabled = true |
| port | Portdefinition, kann numerisch sein. Mehrere Werte werden durch Kommata getrennt. | port = ssh |
| filter = sshd | Name der Filterdatei | /etc/fail2ban/filter.d/sshd.conf |
| logpath | Die zu überwachende Logdatei, die auf den Filter geprüft wird. | logpath = /var/log/auth.log |
| maxretry, bantime,... | Abweichende Werte für die Default-Optionen können ebenfalls definiert werden. | maxretry = 3 |
Action.local¶
Die Dateien im Verzeichnis /etc/fail2ban/action.d/ enthalten die Befehle zum (Ent-)Sperren von IP-Adressen. Action-Dateien enthalten zwei Sektionen: [Definition] und [Init]. Die Einträge in der [Init]-Sektion dienen zum Überschreiben der im Jail definierten Regeln. Die Beispiele der folgenden Tabelle sind der Aktion iptables-multiport-conf entnommen. Alle Befehle werden mit den Benutzerrechten von fail2ban ausgeführt.
| Übersicht der Optionen | ||
| Eintrag | Beschreibung | Beispiel |
| [Definition] | ||
| actionstart | Befehle, die beim Starten von fail2ban ausgeführt werden. | actionstart = iptables -N fail2ban-<name> iptables -A fail2ban-<name> -j RETURN iptables -I <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name> |
| actionstop | Befehle, die beim Beenden von fail2ban ausgeführt werden. | actionstop = iptables -D <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name> iptables -F fail2ban-<name> iptables -X fail2ban-<name> |
| actioncheck | Befehle, die vor jedem actionban ausgeführt werden. Diese dienen dazu die aktuelle Umgebung auf Funktionalität zu überprüfen. | actioncheck = iptables -n -L <chain> | grep -q 'fail2ban-<name>[ \t]' |
| actionban | Befehle, die beim Bannen einer IP ausgeführt werden. Die Bedingung lautet immer maxretry muss überschritten und findtime unterschritten sein. | actionban = iptables -I fail2ban-<name> 1 -s <ip> -j <blocktype> |
| actionunban | Befehle, die zum Entbannen benutzt werden sollen. | actionunban = iptables -D fail2ban-<name> -s <ip> -j <blocktype> |
| [Init] | ||
| name | Standardname der Kette | name = default |
| port | Port | port = ssh |
| protocol | Wird intern vom config reader genutzt. Mögliche Werte: tcp, udp, icmp, all. | protocol = tcp |
| chain | Die iptables-Kette zu der die fail2ban-Regeln hinzugefügt werden sollen. Standard ist INPUT. | chain = INPUT |
| Action Tags | Action Tags sind Platzhalter, welche in actionban, actionunban und actioncheck verwendet werden können. | |
| ip | Die zu bannende IPv4-Adresse. | |
| failures | Die Anzahl der gezählten Fehlversuche. | |
| time | Der Unix-Zeitstempel (Sekunden) des Banns. | |
| matches | Die verketteten Einträge aus den Zeilen des Logfiles, die zum Bann führen. Viele Shell-Zeichen werden escaped dargestellt. | |
Filter.local¶
Die Dateien im Verzeichnis /etc/fail2ban/filter.d/ enthalten die regulären Ausdrücke[6] zur Analyse der Logdateien und zum Extrahieren der IP-Adresse, bzw. bei Verwendung von usedns den Hostnamen. Es gibt in diesen Dateien nur zwei Sektionen: [Definition] und [Includes]. Letztere kann benutzt werden, um andere Konfigurationsdateien einzulesen.
Die Beispiele der folgenden Tabelle sind der Aktion iptables-multiport-conf entnommen. Alle Befehle werden mit den Benutzerrechten von fail2ban ausgeführt.
| Übersicht der Optionen | ||
| Eintrag | Beschreibung | Beispiel |
| [Definition] | ||
| failregex | Mit Hilfe dieses regulären Ausdrucks[6] werden die Logdateien nach Treffern durchsucht. Hier ist der Tag HOST verfügbar, welche als Teil der regex benutzt wird und den Hostnamen, bzw. die IP-Adresse enthält. Die Unterscheidung zwischen IP-Adresse und Hostname wird von fail2ban automatisch ermittelt. | failregex = ^%(prefix_line)sFAIL: \S+ address from=<HOST>$ ^%(prefix_line)sFAIL: \S+ libwrap from=<HOST>$ |
| ignoreregex | Hier können Ausnahmen definiert werden, selbst wenn sie die obige failregex gültig wäre. ignoreregex unterstützt String_interpolation, so dass man eigene Variablen mittels %(variablenname)s verwenden kann. | ignoreregex = |
| [INCLUDES] | ||
| before | Die Datei wird vor der Sektion [Definition] gelesen. Beispiel ist die common.conf, die | before = common.conf |
| after | Die Datei wird nach der Sektion [Definition] gelesen. | after = example_after.local |
| Beispiel | Nach Einbindung der common.conf steht _daemon zur Verfügung. Siehe /etc/fail2ban/filter.d/common.conf für mehr Details. | _daemon = xinetd |
Bannen mit ip route¶
Grundlegend kann fail2ban auf zwei Arten bannen: Mittels Paketfilterung über iptables (Standard) oder per Eintrag in der Routingtabelle mit ip. Der Vorteil von ip ist, dass keine Konflikte mit eigenen iptables-Regeln auftreten.
Die Umstellung erfolgt über die Datei /etc/fail2ban/action.d/route.conf, welche man ggf. mit einem Editor[4] und Root-Rechten erstellen muss. Dort definiert man das Bannverhalten:
[Definition] actionban = ip route add unreachable IP actionunban = ip route del unreachable IP
IP dient dabei ein Platzhalter. Dieser darf also nicht verändert werden.
In der Datei /etc/fail2ban/jail.local muss die Aktion nun über den Eintrag:
banaction = route
bekannt gemacht werden. Zum Übernehmen der Änderungen ist ein Neustart von fail2ban erforderlich.
Entbannen¶
Das Entbannen funktioniert über das Programm fail2ban-client:
fail2ban-client set <JAIL> unbanip <IP> #Beispiel fail2ban-client set ssh unbanip 192.168.16.33
Weitere Informationen¶
Das zu verwendende Init-System hängt von der Ubuntu-Version ab (siehe auch Dienste).
Neustart¶
Mittels systemd:
sudo systemctl restart fail2ban
Mittels Upstart:
sudo service fail2ban restart
Mittels SysVinit:
sudo /etc/init.d/fail2ban restart
Status¶
Mittels systemd:
sudo systemctl status fail2ban
Mittels Upstart:
sudo service fail2ban status
Mittels SysVinit:
sudo /etc/init.d/fail2ban status
fail2ban ohne Root-Rechte¶
Die Nutzung von fail2ban ohne Root-Rechte[3] ist möglich, wenn man einen eigenen Benutzer für fail2ban anlegt und diesem mittels visudo die nötigen Rechte für die verwendeten Befehle - welche dann auf die Benutzung von sudo umgestellt werden müssen - und natürlich den Zugriff auf die Logdateien gewährt.
Eigene Definitionen¶
Als Beispiel dient hier ein Jail für den klassischen HTTP-Statuscode 404.
jail.local:
[apache_404] # Name des Jails enabled = true port = http,https # Standardports filter = apache_404 # Name der Filterdatei logpath = /var/log/apache*/*access.log # zu überwachende Logdateien maxretry = 3 # Wieviele Fehlaufrufe sind erlaubt?
apache_404.local:
# Fail2Ban configuration file # Author: ChickenLipsRfun2eat # Website: wiki.ubuntuusers.de # License: https://ubuntuusers.de/lizenz/#CC-BY-NC-SA-2-0-DE # $Revision: 0.0.1 $ [Definition] failregex = <HOST> - - \[.*\] "GET /.* HTTP/1\.[01]" 404 [0-9]+.*$ # Option: ignoreregex # Notes.: regex to ignore standard search for favicon.ico and robots.txt ignoreregex = .*(robots.txt|favicon.ico)
Problembehebung¶
Bekannte Probleme¶
Bekannte Probleme, Erklärungen und Lösungen findet man in der FAQ 🇬🇧
vsftpd absichern¶
vsftpd mit PAM-Authenifizierung übermittelt Hostnamen in die /var/log/secure, welche auch standardmässig von fail2ban überwacht wird. Durch Probleme bei der Namensauflösung kann es dazu kommen, dass der Filter fehlschlägt.
Die Lösung ist, vsftpd mittels des Eintrages
dual_log_enable=YES
auf zwei Logdateien umzustellen und fail2ban anzuweisen, statt der vordefinierten /var/log/secure die /var/log/vsftpd.log zu überwachen.
Links¶
Intern¶
Apache/Sicherheit - Module zu Härtung des Webservers gegen Angriffe von außen
Serverdienste Übersichtsartikel
Extern¶