Einleitung

Wenn man einen Server mit SSH am Internet betreibt und mal seine /var/log/auth.log anschaut, stellt man sicherlich fest, daß da etliche Angriffsversuche mit verschiedenen Usern auf dem SSH stattfanden (einmal täglich ist Pflicht^^).

Dem kann man mit fail2ban teilweise begegnen.

Installation && Einrichtung

Unter Debian testing und unstable gibt es das einfach mit

apt-get install fail2ban

Danach ist das System in der Regel schon bereit, SSH-Angriffe so zu blockieren, daß nach 5 vergeblichen Einlogversuchen von der selben IP diese via iptables für 10 Minuten gesperrt wird.

Soll das anders sein, kann man das mit /etc/fail2ban.conf einstellen. Dort kann man auch apache2-Blockregeln einstellen sowie daß man jeden Blockvorgang via Mail sich zusenden lassen kann.

ACHTUNG!!! Wenn auf dem System eine andere Sprachvariable (LANG) als "C" verwendet wird, muß man in der fail2ban.conf die Option locale auf C setzen (standardmäßig nur "locale =" vorhanden), also

locale = C

ansonsten versucht fail2ban, die Datumsangaben in der Systemsprache auszulesen, was nicht geht bei Monaten wie März (Mar) oder Oktober (Oct)!