in der /etc/fail2ban/jail.local sollten aber noch anpassungen vorgenommen werden
im abschnitt [sshd] sollte folgendes eingetragen werden:
maxretry ist die anzahl der erlaubten versuche bis zum bann, findtime in sec der zeitraum in dem die fails gezählt werden, bantime die zeit in sec bis die ip wieder entsperrt wird, findtime und bantime sind besonders wichtig da die angreifer sich auf fail2abn anpassen und die zeit zwichen den versuchen anpassen!!!
bei einem "entfernten" server sollte man mit den einstellungen vorsichtig sein um sich nicht selbst versehendlich auszusperren
die korrekte funktion kann wie gesagt mit
getestet werden fail loggin, akzeptierte loggin (hier solltest nur du zu fineden sein
), gebannte ip`s, und die fortlaufenden letzten ausgaben von fail2ban (beenden mit [strg] +[c])
Code:
sudo nano /etc/fail2ban/jail.localim abschnitt [sshd] sollte folgendes eingetragen werden:
Code:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 604800
bantime = 604800maxretry ist die anzahl der erlaubten versuche bis zum bann, findtime in sec der zeitraum in dem die fails gezählt werden, bantime die zeit in sec bis die ip wieder entsperrt wird, findtime und bantime sind besonders wichtig da die angreifer sich auf fail2abn anpassen und die zeit zwichen den versuchen anpassen!!!
bei einem "entfernten" server sollte man mit den einstellungen vorsichtig sein um sich nicht selbst versehendlich auszusperren
die korrekte funktion kann wie gesagt mit
Code:
grep "Failed" /var/log/auth.log
grep "Accepted" /var/log/auth.log
grep Ban /var/log/fail2ban.log
tail -f /var/log/fail2ban.loggetestet werden fail loggin, akzeptierte loggin (hier solltest nur du zu fineden sein
), gebannte ip`s, und die fortlaufenden letzten ausgaben von fail2ban (beenden mit [strg] +[c])
![[-]](https://www.gridtalk.de/images/collapse.png)