Server Security: SSH mit fail2ban absichern

Server, die mit einer IPv4-Adresse im Internet stehen werden schnell Opfer von Bruteforce-Attacken. Insbesondere Zugriffe über Standardprotokolle wie SSH sind hier beliebt. Eine simple Möglichkeit das zu unterbinden ist das Tool fail2ban.

Voraussetzungen

Die Einrichtung wird für Ubuntu 22.04 gezeigt.

Einrichtung

  • Package listings aktualisieren und fail2ban runterladen:
sudo apt update
sudo apt install fail2ban
  • Kopiere die Standardkonfiguration:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
  • Füge die Konfiguration für SSH hinzu:
sudo vim /etc/fail2ban/jail.local

Konfiguration, die User nach 3 fehlgeschlagenen Versuchen für 10 Minuten sperrt:

...
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 10m
  • Neustart des Services:
sudo service fail2ban restart
  • Validierung, dass der Service läuft:
root@vmd122967:~# sudo fail2ban-client status
Status
|- Number of jail:      2
`- Jail list:   ssh, sshd

Zusammenfassung

Hier wurde kurz gezeigt, wie man mit fail2ban verhindern kann, dass der eigene Server via SSH Opfer von Bruteforce-Attacken wird. Wie effektiv das Tool ist kann man einfach nach Installation überprüfen:

root@vmd122967:~# sudo fail2ban-client status ssh
Status for the jail: ssh
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     721
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 1
   |- Total banned:     223
   `- Banned IP list:   XX.XXX.XX.41

Zu dem Zeitpunkt war der Server noch keine 12 Stunden im Netz erreichbar.


Beitrag veröffentlicht

in

von

Schlagwörter: