Tutova.de
Wer einen eigenen Server betreibt, der ist natürlich auch für die Sicherheit verantwortlich. Um diese gewährleisten zu können, müssen einige Dinge unbedingt beachtet werden, da ansonsten die Möglichkeit besteht, dass dieser offen wie ein Scheunentor ist und Angreifer diesen übernehmen – und Schaden anrichten können. Wer trägt mögliche Kosten? Natürlich Du! Ich habe beschlossen, einige aufeinanderfolgende Artikel über die Absicherung von Servern zu verfassen. Diese sollen die Absicherung ein wenig erleichtern, bedeuten aber nicht, dass sich mit der Thematik nicht mehr auseinandergesetzt werden muss.
Fail2Ban installieren – Warum und wie?
Das kleine Programm Fail2Ban sorgt dafür, dass die IP-Adresse eines Angreifers nach mehreren erfolglosen Versuchen für einen bestimmten Zeitraum gesperrt wird und verhindert somit, dass eine unbegrenzte Anzahl an Versuchen besteht, die später möglicherweise zum herausfinden des Passwortes führen.
Fail2Ban kann und soll verschiedene Dienste überwachen. Dazu gehören natürlich der SSH-Zugang, FTP, Mail etc. Mehr dazu folgt nun. Die Installation geschieht mit der SSH-Konsole und benötigt nur wenige Sekunden. Öffne die Shell und gebe (in diesem Fall für Debian) folgendes Kommando ein:
apt-get install fail2ban
Das Programm wird nun heruntergeladen und installiert. Bevor es aber wie gewünscht funktionieren wird, muss es konfiguriert werden. Ich ziehe die Zügel relativ stramm an und lasse nach 3 erfolgten Versuchen den Zugang sperren.
Fail2Ban konfigurieren – Anleitung
Um die Konfigurationsdateien innerhalb der Konsole zu bearbeiten, nutzen wir den Texteditor nano. Wir gehen nun zurück in die Shell und führen folgendes Kommando aus:
nano /etc/fail2ban/jail.conf
Nun ist es hier an der Aufgabe, mögliche IP-Adressen anzugeben, die von einer Sperre ausgenommen werden sollen. Hier reicht es, wenn wir die lokale IP-Adresse unseres Servers eingeben. Die Anzahl der maximalen Versuche legen wir, wie ich oben schon erwähnte, auf 3 Versuche fest. Die Dauer der Sperre mag ich ebenfalls gern lang haben und setze hier 86400 ein. Das heißt, eine Sperre dauert ganze 24 Stunden (24*60*60).
Die Konfigurationsdatei jail.conf sollte dann schon einmal so aussehen:
ignoreip = 127.0.0.1
bantime = 3600
maxretry = 3
Nun ist es an der Zeit, auch die anderen Services abzusichern. Wir bleiben hierzu in dieser Datei und ergänzen die Einstellungen wie unten ersichtlich:
[ssh]
enabled = false
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
logpath = /var/log/auth.log
maxretry = 3
Obige Einstellung sorgt dafür, dass der SSH-Zugang von nun an “bewacht” wird. Andere Dienste, die meiner Meinung nach ebenfalls in die Konfiguration von Fail2Ban gehören, sind folgende:
[proftp]
enabled = true
[postfix]
enabled = true
[sasl]
enabled = true
Je nach dem, welche Dienste auf dem Server laufen, muss diese Datei noch erweitert werden. SSH- FTP – und Mail-Ports stehen jetzt zumindest unter dem wachsamen Augen von Fail2Ban. Speichere die Datei nun ab und starte mit dem Kommando
/etc/init.d/fail2ban restart
Fail2Ban neu, damit die eben gemachten Änderungen aktiv werden. Die Anzahl der Sperrungen und Geschehnisse, lassen sich von nun an in den Logs verfolgen. Dieser ist unter/var/log/fail2ban.log zu finden.
Nicht erschrecken, da kann (leider) schnell einiges an Sperrungen zusammenkommen, aber die Großzahl der Angriffe läuft automatisiert ab und können von nun an, zumindest etwas eingedämmt werden.
