So schützen Sie SSH mit Fail2Ban unter Rocky Linux 9

So schützen Sie SSH mit Fail2Ban unter Rocky Linux 9

Einführung

SSH (Secure Shell) ist ein Netzwerkprotokoll, das einen sicheren Datenverkehr zwischen zwei Computern über ein ungesichertes Netzwerk ermöglicht. Es wird häufig für Fernverwaltung, Dateitransfer und andere Aufgaben verwendet, die eine starke Authentifizierung erfordern.

Die Sicherheit von SSH ist jedoch unerlässlich, da es ein beliebtes Ziel für Hacker und Angreifer ist. Ein gängiger Angriff besteht darin, Anmeldeversuche per Brute-Force zu erzwingen, bei denen ein Angreifer automatisierte Tools verwendet, um verschiedene Benutzernamen und Passwörter auszuprobieren, in der Hoffnung, die richtige Kombination zu finden.

Fail2Ban ist ein Intrusion Detection and Prevention System (IDS/IPS), das SSH vor Brute-Force-Angriffen schützt. Es überwacht Protokolldateien auf Anzeichen verdächtiger Aktivitäten und blockiert IP-Adressen, von denen aus wiederholt fehlgeschlagene Anmeldeversuche stammen.

Installation von Fail2Ban

Fail2Ban ist in den Standard-Repositories von Rocky Linux 9 enthalten. Führen Sie den folgenden Befehl aus, um es zu installieren:


sudo dnf install fail2ban

Konfiguration von Fail2Ban

Nach der Installation muss Fail2Ban konfiguriert werden. Die Hauptkonfigurationsdatei befindet sich unter /etc/fail2ban/jail.conf.

Öffnen Sie die Konfigurationsdatei mit einem Texteditor und suchen Sie den Abschnitt [sshd]:


[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/secure
maxretry = 5
bantime = 3600
findtime = 600

Überprüfen Sie die folgenden Einstellungen:

  7 Zuverlässige JSON-Hosting-Lösung für Ihre moderne Anwendung

* enabled: Setzen Sie diesen Wert auf true, um Fail2Ban für SSH zu aktivieren.
* port: Setzen Sie diesen Wert auf den SSH-Port, der überwacht werden soll.
* filter: Setzen Sie diesen Wert auf sshd, um den SSH-Filter zu verwenden.
* logpath: Setzen Sie diesen Wert auf den Pfad zur SSH-Protokolldatei.
* maxretry: Legen Sie die maximale Anzahl fehlgeschlagener Anmeldeversuche fest, bevor eine IP-Adresse gesperrt wird.
* bantime: Legen Sie die Dauer der Sperrung einer gesperrten IP-Adresse fest (in Sekunden).
* findtime: Legen Sie das Zeitintervall fest, innerhalb dessen fehlgeschlagene Anmeldeversuche gezählt werden.

Starten und Aktivieren von Fail2Ban

Starten Sie Fail2Ban nach Abschluss der Konfiguration:


sudo systemctl start fail2ban

Aktivieren Sie Fail2Ban, damit es beim Systemstart automatisch gestartet wird:


sudo systemctl enable fail2ban

Verwaltung von Fail2Ban

Sie können Fail2Ban über den Befehl fail2ban-client verwalten. Hier sind einige nützliche Befehle:

* Status anzeigen: sudo fail2ban-client status
* Bestimmte IP-Adresse sperren: sudo fail2ban-client set sshd banip 192.168.1.100
* Bestimmte IP-Adresse entsperren: sudo fail2ban-client set sshd unbanip 192.168.1.100
* Alle gesperrten IP-Adressen anzeigen: sudo fail2ban-client status sshd
* Protokolldateien anzeigen: sudo less /var/log/fail2ban.log

Fazit

Fail2Ban ist ein wirksames Tool zum Schutz von SSH vor Brute-Force-Angriffen. Durch die Überwachung von Protokolldateien und das Blockieren verdächtiger IP-Adressen hilft Fail2Ban, unbefugten Zugriff auf Ihr System zu verhindern.

  So verwenden Sie die IF-Funktion von Google Sheets

Die Implementierung von Fail2Ban ist ein wesentlicher Schritt zur Verbesserung der Sicherheit Ihrer SSH-Verbindungen. Es ist einfach zu konfigurieren und zu verwalten und bietet einen robusten Schutz gegen unbefugte Anmeldeversuche. Durch die Kombination aus starker Authentifizierung und Fail2Ban können Sie sicherstellen, dass Ihr SSH-Server sicher ist und vor Angriffen geschützt ist.

Häufig gestellte Fragen (FAQs)

1. Was ist der Unterschied zwischen Fail2Ban und Firewalld?

Fail2Ban ist eine Intrusion Detection and Prevention System (IDS/IPS), die speziell auf die Überwachung von Protokolldateien und die Blockierung verdächtiger IP-Adressen ausgelegt ist. Firewalld hingegen ist eine Firewall, die den eingehenden und ausgehenden Netzwerkverkehr auf niedriger Ebene steuert.

2. Wie oft sollte ich die Fail2Ban-Konfiguration überprüfen?

Es wird empfohlen, die Fail2Ban-Konfiguration regelmäßig zu überprüfen, insbesondere wenn Sie Änderungen an Ihrem SSH-Server vorgenommen haben. Sie sollten die Einstellungen anpassen, um Ihre spezifischen Sicherheitsanforderungen zu erfüllen.

3. Kann ich Fail2Ban zur Überwachung anderer Dienste als SSH verwenden?

Ja, Fail2Ban kann zur Überwachung einer Vielzahl von Diensten wie FTP, SMTP und HTTP konfiguriert werden. Die Konfiguration für diese Dienste befindet sich in separaten Abschnitten der Konfigurationsdatei /etc/fail2ban/jail.conf.

4. Wie speichere ich die Fail2Ban-Konfiguration sicher?

  Ermitteln Sie die Anzahl der Kerne in einem Prozessor und begrenzen Sie die Kernnutzung durch Apps

Die Fail2Ban-Konfiguration sollte sicher aufbewahrt werden, um unbefugte Änderungen zu verhindern. Sie können ein Versionskontrollsystem wie Git verwenden oder die Konfigurationsdatei an einem sicheren Ort aufbewahren.

5. Was sollte ich tun, wenn mein SSH-Server gesperrt wurde?

Wenn Ihr SSH-Server von Fail2Ban gesperrt wurde, können Sie die gesperrte IP-Adresse über den Befehl fail2ban-client set sshd unbanip entsperren. Sie sollten auch die Protokolldateien überprüfen, um die Ursache der Sperrung zu ermitteln.

6. Wie kann ich Fail2Ban debuggen?

Sie können Fail2Ban debuggen, indem Sie die Protokollebene auf DEBUG setzen. Bearbeiten Sie die Datei /etc/fail2ban/fail2ban.conf und suchen Sie nach der Zeile logtarget = SYSLOG. Ändern Sie den Wert in logtarget = SYSLOG, DEBUG.

7. Wie kann ich Fail2Ban automatisch aktualisieren?

Sie können Fail2Ban automatisch aktualisieren, indem Sie den Befehl sudo dnf update fail2ban ausführen. Dies aktualisiert sowohl die Fail2ban-Software als auch die Signaturen für die Erkennung von Brute-Force-Angriffen.

8. Wie kann ich die Fail2Ban-Sperrliste manuell bearbeiten?

Sie können die Fail2Ban-Sperrliste manuell bearbeiten, indem Sie die Datei /var/lib/fail2ban/fail2ban.d/ssh.conf bearbeiten. Suchen Sie den Abschnitt iplist und fügen Sie IP-Adressen hinzu oder entfernen Sie sie, um die Sperrliste zu bearbeiten.