Beschreibung
diese Kurzbeschreibung soll die Schritte darstellen, wie Sie mit fail2Ban präventiv den SSH Zugang gegen Brute Force Attacken absichern oder zumindest protokollieren können.
Als Testumgebung wurde ein Raspberry Pi (RPi) mit der Debian Version Jessie verwendet.
Schritte:
- Starten Sie den RPi neu: sudo shutdown -r now
- Führen Sie ein Update der SW-Repositories durch: sudo apt-get update && apt-get upgrade
ggf. diesen Schritt mit su durchführen! - Installieren Sie das Paket Fail2ban: sudo apt-get install fail2ban
- Navigieren Sie in das Verzeichnis: cd /etc/fail2ban
- Erstellen Sie eine Kopie der Config Datei für den lokalen Bereich: sudo cp jail.conf jail.local
- Öffnen Sie mit dem Editor nano die Config Datei: sudo nano jail.local
- Passen die Bereiche [DEFAULT] und [SSH] an:
[DEFAULT]
bantime = 20
findtime = 30
maxretry = 3
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3 - Speichern Sie die Anpassungen ab und Schließen den Editor.
- Starten Sie den Fail2ban Dienst neu: sudo /etc/init.d/fail2ban restart
Wenn die oben gelisteten Schritte durchgeführt worden sind, ist der Dienst aktiv und soll somit ein Scanning (Bruteforce) behinden.
Quelle 1: http://www.raspberrypihelp.net/tutorials/48-raspberry-pi-ssh-security-fail2ban
Quelle 2: https://www.youtube.com/watch?v=Nza54KWSoiQ
Thanks to the Author's for this simple descriptions ...