Artikelen over: VPS

Fail2Ban installeren en configureren

Fail2Ban is een programma dat jouw Linux server kan beschermen tegen brute-force aanvallen. Fail2Ban scant de logbestanden van jouw server om te bepalen welke ip's verbannen moeten worden.

Fail2Ban Installeren



Hieronder staan de instructies om Fail2Ban te installeren per OS. Uiteraard hoef je hier enkel de instructies te volgen voor jouw OS.

Debian & Ubuntu



sudo apt-get update
sudo apt-get install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban


CentOS



sudo yum update
sudo yum install epel-release -y
sudo yum install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban


Fai2Ban Configureren



Na De installatie van Fail2Ban is het nodig om Fail2Ban te configureren. De configuratie is afhankelijk van welke firewall je gebruikt.

Begin hiervoor met het aanmaken/openen van /etc/fail2ban/jail.local

sudo nano /etc/fail2ban/jail.local

Basisonfiguratie voor UFW



[DEFAULT]
bantime = 604800
findtime = 3600
action = %(action_)s 
banaction = ufw
maxretry = 3
# Optioneel kan je jouw eigen IP whitelisten:
# ignoreip = 1.2.3.4


Basisonfiguratie voor IPTables



[DEFAULT]
bantime = 604800
findtime = 3600
action = %(action_)s 
banaction = iptables-multiport
maxretry = 3
# Optioneel kan je jouw eigen IP whitelisten:
# ignoreip = 1.2.3.4


Basisonfiguratie voor Firewalld



[DEFAULT]
bantime = 604800
findtime = 3600
action = %(action_)s 
banaction = firewallcmd-ipset
maxretry = 3
# Optioneel kan je jouw eigen IP whitelisten:
# ignoreip = 1.2.3.4


Jails configureren



Nadat je Fail2Ban hebt geconfigureerd om te werken met jouw firewall, is het nodig dat je Fail2Ban verteld welke services gecontroleerd moeten worden. Dit doe je in hetzelfde /etc/fail2ban/jails.local bestand als hiervoor.

LET OP: Zorg ervoor dat je enkel de services overneemt die je gebruikt. Gebruik je geen exim en/of geen postfix, neem deze stukken dan niet over. Hetzelfde geldt voor de overige services.

SSH Jail



[sshd]
enabled = true
port = 22


Exim



[exim]
enabled = true
filter = exim
logpath = /var/log/exim/mainlog
# Debian gebruikt "logpath = /var/log/exim4/mainlog"


Postfix



[postfix]
enabled = true
port = smtp, ssmtp
filter = postfix
failregex = \[<HOST>]: 535 Incorrect authentication data
logpath = /var/log/maillog


Dovecot



[dovecot]
enabled = true
port = pop3,pop3s,imap,imaps
filter = dovecot
logpath = /var/log/maillog


Herstart na het toevoegen van de jail blokken fail2ban met

sudo systemctl restart fail2ban


Ziezo! Fail2Ban is nu geconfigureerd op jouw server.


Handmatig bannen en unbannen van ip's



Handmatig bannen:


sudo fail2ban-client -vvv set JAIL banip 1.2.3.4


Let op: vervang JAIL door een jail die je hierboven geconfigureerd hebt, en 1.2.3.4 door het IP adres dat je wilt unbannen.

Handmatig unbannen:


Bekijk de log van fail2ban (/var/log/fail2ban.log) en achterhaal in welke jail het IP zit. Eens je dit weet kan je het IP bannen met:

sudo fail2ban-client set JAIL unbanip 1.2.3.4


Let op: vervang JAIL en 1.2.3.4 door het de jail en het ip dat je wilt unbannen.

Bijgewerkt op: 25/09/2023

Was dit artikel nuttig?

Deel uw feedback

Annuleer

Dankuwel!