Systemsoftware: fail2ban, logrotate
bearbeitet von Regina Schaukrug> Da fail2ban nur die Firewall des betroffenen Servers selber pflegt, ich aber die IPs schon auf der ersten Firewall sperren möchte, musste ich mir selber etwas bauen.
Wenn Du Dir mal die Konfigurationsdateien unterhalb von `/etc/fail2ban/action.d/` ansiehst findest Du immer folgende Zeilen:
~~~
actionstart = <iptables> -N f2b-<name>
actionstop = …
actioncheck = …
actionban = …
actionunban = …
~~~
Dahinter stehen Befehle mit Variablen. Da könnte also auch
~~~
actionstart = ssh -i /foo/bar/f2b.key f2b@firewall <iptables> -N f2b-<name>
~~~
stehen. Du musst da gar nicht so viel selbst bauen:
**Rezept:**
1. `/etc/fail2ban/jail.conf` nach `jail.local` kopieren und diese ändern. (Damit ein Update die Änderungen nicht überschreibt.)
2. in `/etc/fail2ban/jail.local` alle banactions in "banaction_allports" abändern.
3. `/etc/fail2ban/action.d/iptables-allports.conf` nach `iptables-allports.local` kopieren, bei den den o.g. Punkten einen kleinen ssh-Befehl notieren welcher mittels eines geeigneten Benutzers, einer Schlüsseldatei ohne Passwort und einem geeigneten entfernten Benutzer (also einem, der iptables aufrufen und ausführen kann (setfacl, suid-Bit, ...) auf dem Server die Blockierung setzt.
Wenn Du statt iptables eine andere Firewall verwendest wirst Du mit dem gleichen Vorgehen bei `ipfw.conf` oder `firewallcmd-*.conf`, `ipfilter.conf` `nfttables-*.conf` und so weiter glücklich.
> Das Logfile enthält durchschnittlich ca. 1.000.000 Einträge
Wie ich schon schrieb. Logrotate hilft hier gegen
> dauert weniger als 1 Sekunde
denn das *"weniger als"* klingt für mich nach *"zu lange"*.
Systemsoftware: fail2ban, logrotate
bearbeitet von Regina Schaukrug> Da fail2ban nur die Firewall des betroffenen Servers selber pflegt, ich aber die IPs schon auf der ersten Firewall sperren möchte, musste ich mir selber etwas bauen.
Wenn Du Dir mal die Konfigurationsdateien unterhalb von `/etc/fail2ban/action.d/` ansiehst findest Du immer folgende Zeilen:
~~~
actionstart = <iptables> -N f2b-<name>
actionstop = …
actioncheck = …
actionban = …
actionunban = …
~~~
Dahinter stehen Befehle mit Variablen. Da könnte also auch
~~~
actionstart = ssh -i /foo/bar/f2b.key f2b@firewall <iptables> -N f2b-<name>
~~~
stehen. Du musst da gar nicht so viel selbst bauen:
**Rezept:**
1. `/etc/fail2ban/jail.conf` nach `jail.local` kopieren und diese ändern. (Damit ein Update die Änderungen nicht überschreibt.)
2. in `/etc/fail2ban/jail.local` alle banactions in "banaction_allports" abändern.
3. `/etc/fail2ban/action.d/iptables-allports.conf` nach `iptables-allports.local` kopieren, bei den den o.g. Punkten einen kleinen ssh-Befehl notieren welcher mittels eines geeigneten Benutzers, einer Schlüsseldatei ohne Passwort und einem geeigneten entfernten Benutzer (also einem, der iptables aufrufen und ausführen kann (setfacl, suid-Bit, ...) auf dem Server die Blockierung setzt.
> Das Logfile enthält durchschnittlich ca. 1.000.000 Einträge
Wie ich schon schrieb. Logrotate hilft hier gegen
> dauert weniger als 1 Sekunde
denn das *"weniger als"* klingt für mich nach *"zu lange"*.
Systemsoftware: fail2ban, logrotate
bearbeitet von Regina Schaukrug> Da fail2ban nur die Firewall des betroffenen Servers selber pflegt, ich aber die IPs schon auf der ersten Firewall sperren möchte, musste ich mir selber etwas bauen.
Wenn Du Dir mal die Konfigurationsdateien unterhalb von `/etc/fail2ban/action.d/` ansiehst findest Du immer folgende Zeilen:
~~~
actionstart = <iptables> -N f2b-<name>
actionstop = …
actioncheck = …
actionban = …
actionunban = …
~~~
Dahinter stehen Befehle mit Variablen. Da könnte also auch
~~~
actionstart = ssh -i /foo/bar/f2b.key f2b@firewall <iptables> -N f2b-<name>
~~~
stehen. Du musst da gar nicht so viel selbst bauen:
**Rezept:**
1. `/etc/fail2ban/jail.conf` nach `jail.local` kopieren und diese ändern. (Damit ein Update die Änderungen nicht überschreibt.)
2. in `/etc/fail2ban/jail.local` alle banactions in "banaction_allports" abändern.
3. `/etc/fail2ban/action.d/iptables-allports.conf` nach `iptables-allports.local` kopieren, bei den den o.g. Punkten einen kleinen ssh-Befehl notieren welcher mittels eines geeigneten Benutzers, einer Schlüsseldatei ohne Passwort und einem geeigneten entfernten Benutzer (also einem, der iptables aufrufen und ausführen kann (setfacl, suid-Bit, ...) auf dem Server die Blockierung setzt.
Systemsoftware: fail2ban, logrotate
bearbeitet von Regina Schaukrug> Da fail2ban nur die Firewall des betroffenen Servers selber pflegt, ich aber die IPs schon auf der ersten Firewall sperren möchte, musste ich mir selber etwas bauen.
Wenn Du Dir mal die Konfigurationsdateien unterhalb von `/etc/fail2ban/action.d/` ansiehst findest Du immer folgende Zeilen:
~~~
actionstart = <iptables> -N f2b-<name>
actionstop = …
actioncheck = …
actionban = …
actionunban = …
~~~
Dahinter stehen Befehle mit Variablen. Da könnte also auch
~~~
ssh -i /foo/bar/f2b.key f2b@firewall <iptables> -N f2b-<name>
~~~
stehen. Du musst da gar nicht so viel selbst bauen:
**Rezept:**
1. `/etc/fail2ban/jail.conf` nach `jail.local` kopieren und diese ändern. (Damit ein Update die Änderungen nicht überschreibt.)
2. in `/etc/fail2ban/jail.local` alle banactions in "banaction_allports" abändern.
3. `/etc/fail2ban/action.d/iptables-allports.conf` nach iptables-allports.local kopieren bei den den o.g. Punkten einen kleinen ssh-Befehl notieren, der mittels eines geeigneten Benutzers, einer Schlüsseldatei ohne Passwort und einem geeigneten entfernten Benutzer (also einem, der iptables aufrufen und ausführen kann (setfacl, suid-Bit, ...) auf dem Server die Blockierung setzt.