Hoi,
mein Debian webserver ist nach der Perfect-Server-Methode mit fail2ban installiert und funktioniert auch prächtig. Danke Till für die Installationsdoku!
Angesichts zunehmender Angriffsversuche will ich fail2ban mit mehreren, aufsteigenden bantimes anpassen, sodass jemand nach 3 erfolglosen Loginversuchen für 10min gesperrt wird (Standard), nach weiteren 2 Versuchen dann für 24h und nach einem weiteren Versuch für 7d.
Die jail.local schaut derzeit so aus:
Ausgehend von der Doku unter http://blog.shanock.com/fail2ban-increased-ban-times-for-repeat-offenders/ müsste eine überarbeitete jail.local dann also so aussehen:
Die findtime setzt natürlich vorraus, dass die einzelne logfile (hier: syslog) auch min. drei Tage lang ist...
Wobei ich mir derzeit noch die Frage stelle, ob der ignoreregex "[pureftpd2]" dann tatsächlich greift, da "pureftpd" nicht explizit aufgerufen wird...
Ist das soweit richtig?
Danke für die Unterstützung!
Thomas
mein Debian webserver ist nach der Perfect-Server-Methode mit fail2ban installiert und funktioniert auch prächtig. Danke Till für die Installationsdoku!
Angesichts zunehmender Angriffsversuche will ich fail2ban mit mehreren, aufsteigenden bantimes anpassen, sodass jemand nach 3 erfolglosen Loginversuchen für 10min gesperrt wird (Standard), nach weiteren 2 Versuchen dann für 24h und nach einem weiteren Versuch für 7d.
Die jail.local schaut derzeit so aus:
Code:
[pureftpd]
enabled = true
port = ftp
filter = pureftpd
logpath = /var/log/syslog
maxretry = 2
[dovecot-pop3imap]
enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 2
[postfix-sasl]
enabled = true
port = smtp
filter = postfix-sasl
logpath = /var/log/mail.log
maxretry = 2
Ausgehend von der Doku unter http://blog.shanock.com/fail2ban-increased-ban-times-for-repeat-offenders/ müsste eine überarbeitete jail.local dann also so aussehen:
Code:
[pureftpd]
enabled = true
port = ftp
filter = pureftpd
logpath = /var/log/syslog
maxretry = 2
[pureftpd2]
enabled = true
port = ftp
filter = pureftpd
logpath = /var/log/syslog
bantime = 86400 ;1 day
findtime = 259200 ;3 days
maxretry = 4
Die findtime setzt natürlich vorraus, dass die einzelne logfile (hier: syslog) auch min. drei Tage lang ist...
Wobei ich mir derzeit noch die Frage stelle, ob der ignoreregex "[pureftpd2]" dann tatsächlich greift, da "pureftpd" nicht explizit aufgerufen wird...
Ist das soweit richtig?
Danke für die Unterstützung!
Thomas
Zuletzt bearbeitet: