Tachtler's DokuWiki

Homepage | Kontakt | Rechtliche Informationen | Impressum

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
tachtler:fail2ban

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
tachtler:fail2ban [2016/09/12 13:55] – [/etc/fail2ban/action.d] klaustachtler:fail2ban [2018/04/15 00:57] (aktuell) – [IP-Adresse manuell löschen unban] klaus
Zeile 1582: Zeile 1582:
  
 Abschließend kann dann [[http://www.fail2ban.org|fail2ban]] mit nachfolgendem Befehl gestartet werden: Abschließend kann dann [[http://www.fail2ban.org|fail2ban]] mit nachfolgendem Befehl gestartet werden:
 +
 +**__CentOS 6:__**
 +
 <code> <code>
 # service fail2ban start # service fail2ban start
Zeile 1594: Zeile 1597:
  �<30>fail2ban.filter : INFO   Set findtime = 600  �<30>fail2ban.filter : INFO   Set findtime = 600
                                                             OK  ]                                                             OK  ]
 +</code>
 +
 +**__CentOS 7:__**
 +
 +<code>
 +# systemctl start fail2ban.service
 +</code>
 +bzw.
 +<code>
 +# systemctl status fail2ban.service
 +● fail2ban.service - Fail2Ban Service
 +   Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; disabled; vendor preset: disabled)
 +   Active: active (running) since Mon 2016-09-12 14:02:12 CEST; 31s ago
 +     Docs: man:fail2ban(1)
 +  Process: 9223 ExecStart=/usr/bin/fail2ban-client -x start (code=exited, status=0/SUCCESS)
 + Main PID: 9248 (fail2ban-server)
 +   CGroup: /system.slice/fail2ban.service
 +           └─9248 /usr/bin/python2 -s /usr/bin/fail2ban-server -s /var/run/fa...
 +
 +Sep 12 14:02:10 vml71010.edmz.tachtler.net systemd[1]: Starting Fail2Ban Serv...
 +Sep 12 14:02:10 vml71010.edmz.tachtler.net fail2ban-client[9223]: 2016-09-12 ...
 +Sep 12 14:02:10 vml71010.edmz.tachtler.net fail2ban-client[9223]: 2016-09-12 ...
 +Sep 12 14:02:12 vml71010.edmz.tachtler.net systemd[1]: Started Fail2Ban Service.
 +Hint: Some lines were ellipsized, use -l to show in full.
 </code> </code>
  
 Um [[http://www.fail2ban.org|fail2ban]] auch nach einem Neustart (**restart**) des Servers automatisch zu starten, sollten nachfolgende Konfiguration durchgeführt werden. Um [[http://www.fail2ban.org|fail2ban]] auch nach einem Neustart (**restart**) des Servers automatisch zu starten, sollten nachfolgende Konfiguration durchgeführt werden.
 +
 +**__CentOS 6:__**
  
 Nachfolgender Befehl, fügt das **Start-Skript** Nachfolgender Befehl, fügt das **Start-Skript**
Zeile 1609: Zeile 1638:
 # chkconfig --list | grep fail2ban # chkconfig --list | grep fail2ban
 fail2ban        0:off   1:off   2:on    3:on    4:on    5:on    6:off fail2ban        0:off   1:off   2:on    3:on    4:on    5:on    6:off
 +</code>
 +
 +**__CentOS 7:__**
 +
 +Nachfolgender Befehl, fügt das **Systemd-Start-Skript**
 +  * **''/usr/lib/systemd/system/fail2ban.service''**
 +der automatischen Ausführung (Start) beim Start oder Neustart des Servers/Knotens hinzu:
 +<code>
 +# systemctl enable fail2ban.service
 +Created symlink from /etc/systemd/system/multi-user.target.wants/fail2ban.service to /usr/lib/systemd/system/fail2ban.service.
 +</code>  
 +
 +Ein Überprüfung, ob dies erfolgreich war, kann mit nachfolgendem Befehl durchgeführt werden:
 +<code>
 +# systemctl is-enabled fail2ban.service
 +enabled
 </code> </code>
  
Zeile 1646: Zeile 1691:
  
 Auch nachfolgende Ausgabe von [[tachtler:iptables|iptables]] mit nachfolgendem Befehl, zeigt die aktuell geblockten IP-Adressen: Auch nachfolgende Ausgabe von [[tachtler:iptables|iptables]] mit nachfolgendem Befehl, zeigt die aktuell geblockten IP-Adressen:
 +
 +**__CentOS 6:__**
 +
 <code> <code>
 # iptables -nvL fail2ban-SSH # iptables -nvL fail2ban-SSH
 +Chain fail2ban-SSH (1 references)
 + pkts bytes target     prot opt in     out     source               destination         
 +    0     0 DROP       all  --  *      *       123.456.789.123      0.0.0.0/          
 +   60  3216 RETURN     all  --  *      *       0.0.0.0/           0.0.0.0/0
 +</code>
 +
 +**__CentOS 7:__**
 +
 +<code>
 +# iptables -nvL f2b-SSH
 Chain fail2ban-SSH (1 references) Chain fail2ban-SSH (1 references)
  pkts bytes target     prot opt in     out     source               destination           pkts bytes target     prot opt in     out     source               destination         
Zeile 1761: Zeile 1819:
 </code> </code>
  
-:!: **HINWEIS** - Es fehlt nur ein **''LEERZEICHEN''** nach dem **/**-Zeichen. Ausschnitt: **[A-Za-z0-9+/ ]*={0,2})?$** +:!: **HINWEIS** - Es fehlt nur ein **''LEERZEICHEN''** nach dem **//**-Zeichen. Ausschnitt: **[A-Za-z0-9+// ]*={0,2})?$** 
  
 Um die Änderungen an der Konfiguration zu testen und um zu überprüfen, ob eine Übereinstimmung mit den Angaben in der **regular expression** mit Inhalten in der angegebenen LOG-Datei vorhanden sind, kann nachfolgender Befehl genutzt werden: Um die Änderungen an der Konfiguration zu testen und um zu überprüfen, ob eine Übereinstimmung mit den Angaben in der **regular expression** mit Inhalten in der angegebenen LOG-Datei vorhanden sind, kann nachfolgender Befehl genutzt werden:
Zeile 1822: Zeile 1880:
 However, look at the above section 'Running tests' which could contain important However, look at the above section 'Running tests' which could contain important
 information. information.
 +</code>
 +
 +===== IP-Adresse manuell löschen "unban" =====
 +
 +Nachfolgende Befehle ermöglichen es, eine IP-Adresse, welche von [[http://www.fail2ban.org|fail2ban]] als **"banned"** gelistet ist zu **löschen** (**"unban"**).
 +
 +Dies soll durch Aufruf des **''fail2ban-client''** im **interaktiven Modus** erfolgen.
 +
 +Um den **''fail2ban-client''** in den **interaktiven Modus** zu versetzen, ist nachfolgender Befehl erforderlich:
 +<code bash>
 +# fail2ban-client -i
 +Fail2Ban v0.9.7 reads log file that contains password failure report
 +and bans the corresponding IP addresses using firewall rules.
 +
 +fail2ban>
 +</code>
 +
 +Anschließend befindet sich der **''fail2ban-client''** im **interaktiven Modus**, was durch den **Prompt** erkennbar ist.
 +
 +Durch Eingabe von nachfolgendem Befehl, werden die einzelnen **''jails''** aufgelistet, aus denen nun eine IP-Adresse gelöscht werden kann:
 +<code bash>
 +fail2ban> status
 +Status
 +|- Number of jail:      3
 +`- Jail list:   portscan, sshd, sshd-ddos
 +</code>
 +
 +Durch Erweiterung des vorhergehenden Befehls, um die Angabe eines **''jails''**, können nun die sich darin gelisteten IP-Adressen aufgelistet werden, was mit nachfolgendem Befehl **hier** für den **''jail''** - **''portscan''** durchgeführt werden soll:
 +<code bash>
 +fail2ban> status portscan
 +Status for the jail: portscan
 +|- Filter
 +|  |- Currently failed: 59
 +|  |- Total failed:     760
 +|  `- Journal matches:  _TRANSPORT=kernel
 +`- Actions
 +   |- Currently banned: 2
 +   |- Total banned:     2
 +   `- Banned IP list:   151.101.114.49 85.93.20.106
 +</code>
 +
 +Um jetzt z.B. die IP-Adresse **''151.101.114.49''** zu löschen (**"unban"**), muss nachfolgender Befehl wie folgt eingegeben werden:
 +<code bash>
 +fail2ban> set portscan unbanip 151.101.114.49
 +151.101.114.49
 +</code>
 +
 +Als Antwort auf den vorhergehenden Befehl, sollte die eingegeben IP-Adresse erscheinen, was das löschen (**"unban"**) bestätigt.
 +
 +Eine erneute Abfrage der gelisteten IP-Adressen im **''jail''** - **''portscan''**, sollte nun ohne die entsprechende IP-Adresse erfolgen, was nachfolgende Abfrage zeigt:
 +<code bash>
 +fail2ban> status portscan
 +Status for the jail: portscan
 +|- Filter
 +|  |- Currently failed: 62
 +|  |- Total failed:     781
 +|  `- Journal matches:  _TRANSPORT=kernel
 +`- Actions
 +   |- Currently banned: 1
 +   |- Total banned:     2
 +   `- Banned IP list:   85.93.20.106
 +</code>
 +
 +Um den **interaktiven Modus** von **''fail2ban-client''** wider zu verlassen, kann nachfolgender Befehl eingegeben werden:
 +<code bash>
 +fail2ban> exit
 </code> </code>
  
tachtler/fail2ban.1473681355.txt.gz · Zuletzt geändert: 2016/09/12 13:55 von klaus