Fail2ban unter Ubuntu 20.04 installieren

1. Fail2ban Installation

Das folgende Tutorial zeigt, wie man Fail2ban installiert und einige Konfigurationen vornimmt.

Aktualisieren des Ubuntu Betriebssystems, um sicherzustellen, dass alle vorhandenen Pakete auf dem neuesten Stand sind:

sudo apt update && sudo apt upgrade -y

Standardmäßig ist fail2ban im Standard-Repository von Ubuntu 20.04, 22.04 und 24.04 enthalten, was die Installation unkompliziert macht.

Beginne die Installation von Fail2ban, indem Du den folgenden Befehl ausführst.

sudo apt install fail2ban -y

Sobald die Installation von Fail2ban abgeschlossen ist, sollte der Servicestatus geprüft.
Standardmäßig sollte Fail2ban bei der Installation automatisch aktiviert und gestartet werden.
Verwenden den folgenden Befehl, um dies zu Überprüfen.

systemctl status fail2ban

Falls fail2ban nicht gestartet werden konnte, aktiviere den Dienst mit dem folgenden Befehl.

sudo systemctl enable fail2ban --now

2. Fail2ban Backup-Einstellungen

Nach Abschluss der Installation müssen einige Einstellungen und grundlegende Konfigurationen vorgenommen werden. Fail2ban wird mit zwei Konfigurationsdateien geliefert,
die sich in /ect/fail2ban/jail.conf befinden und das standardmäßige Fail2ban /ect/fail2ban/jail.d/defaults-debian.conf. Ändere diese Dateien nicht. Die ursprünglichen Setup-Dateien sind die Originale und werden bei jedem zukünftigen Update von Fail2ban ersetzt!

Jetzt fragst Du Dich vielleicht, wie Fail2ban korrekt eingerichtet wird, damit die Einstellungen nicht verloren gehen. Ganz einfach, wir erstellen Kopien, die auf .local statt auf .conf enden. Fail2ban liest immer die .local Dateien zuerst vor dem Laden der .conf

Verwende dazu die folgenden Befehle.

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Jetzt kommst Du zu dem Teil wo du die jail.local öffnest und die Einstellungen anpassen kannst.

sudo nano /etc/fail2ban/jail.local

[DEFAULT]
ignoreip = 127.0.0.1, 192.168.0.0/24
bantime = -1 # Ban IP for ever
findtime = 10m
maxretry = 3

[sshd]
enabled = true
maxretry = 3
findtime = 15m
bantime = -1
ignoreip = 127.0.0.1/8, 192.168.0.0/24
action = %(action_mw)s
banaction_allports = iptables-allports
logpath = /var/log/auth.log

3. eMail-Warnungen/Benachrichtigungen

Du kannst auch eine E-Mail-Adresse für Fail2ban festlegen, um Berichte zu senden.
Die Standardaktion = %(action_mw)s, die die anstößige IP sperrt und eine eMail mit einem Whois-Bericht zur Überprüfung sendet. In action.d-Ordner gibt es jedoch andere eMail-Optionen, um sich nicht nur an sich selbst zu melden, sondern auch eMails an Blacklist-Anbieter und den ISP des Angreifers zu senden.

Das Setup-Beispiel ist unten:

# Destination email address used solely for the interpolations in
# jail.{conf,local,d/*} configuration files.
destemail = admin@example.com

# Sender e-mail address used solely for some actions
sender = fail2ban@example.com

Wenn Du mit der Einrichtung zufrieden bist, führe den folgenden Befehl aus, um fail2ban neu zu starten, um die neuen Jails zu laden.

sudo systemctl restart fail2ban

4. Fail2ban-Client verwenden

Jetzt, da Fail2ban nun einsatzbereit ist, solltest Du noch einige grundlegende Betriebsbefehle kennen.
Dies geschieht mit dem Befehl fail2ban-client. Abhängig von der Einrichtung benötigst Du möglicherweise sudo-Berechtigungen.

Sperren einer IP-Adresse:

sudo fail2ban-client set sshd banip 185.60.216.15

Sperre einer IP-Adresse aufheben:

sudo fail2ban-client set sshd unbanip 185.60.216.15

Befehl zum Aufrufen des Hilfemenüs, wenn zusätzliche Einstellungen oder Hilfe zu einer bestimmten Einstellung benötigt wird.

sudo fail2ban-client -h

5. Überwachen Sie Fail2ban-Protokolle

Viele häufige Fehler sind die Errichtung von Gefängnissen, ohne zu testen oder zu überwachen, was sie tun. Das Überprüfen von Protokollen ist unerlässlich, und das Protokoll „fail2ban“ befindet sich in seinem Standardpfad /var/log/fail2ban.log.

Die Verwendung des Befehls tail -f wie unten beschrieben ist ein ausgezeichneter Befehl, um live zuzusehen, um Probleme zu sehen und ein Auge darauf zu haben, was sich auf dem Server grade tut und ob jemand sein unwesen treibt.

sudo tail -f /var/log/fail2ban.log

That´s it, have fun 😉