Nadat ik Cockpit had geïnstalleerd op mijn Debian Stretch Server zag ik in de ‘live’ logging van Cockpit dat er veel pogingen werden ondernomen om remote via SSH in te loggen. Je ziet dan logging in de volgende trant:

Toen ik terugkeek in mijn oude logging (‘/var/log/syslog’ files) zag ik dat dit constant gebeurde. Nu heb ik als belangrijkste maatregel de ‘root’ user uitgeschakeld voor SSH toegang (edit file ‘/etc/ssh/sshd_config’ en zet PermitRootLogin op ‘no’), dus zover ik kan overzien is nog nooit een onbekende via SSH remote op mijn systeem gekomen. Een andere goede maatregel kan het veranderen van de listen-port voor je SSH toegang zijn. Dit doe je ook in de file ‘/etc/ssh/sshd_config’.

Nu is er echter ook speciale software met de naam Fail2ban die je log files (bijvoorbeeld ‘/var/log/auth.log’ en ‘/var/log/apache’) constant monitort en dan een tijdelijke of persistente verbod (ban) van een IP-adres uitdeelt door het updaten van de firewall regels (iptables).

Default wordt Fail2ban geleverd met filter definities voor verschillende services zoals ‘sshd’, ‘apache’, ‘qmail’, ‘proftpd’, etc, maar de configuratie kan eventueel ook uitgebreid worden voor het monitoren van andere tekst-files.

Om Fail2ban de installeren voer het je het volgende commando uit:

Na de installatie zal de Fail2ban service automatisch starten en je kunt de status bekijken met het commando:

Met Debian worden de filter definities standaard opgeslagen in de files ‘/etc/fail2ban/jail.conf en ‘/etc/fail2ban/jail.d/defaults-debian.conf’. De eerste file bevat de definities en de laatste file bepaald welke services gemonitored moeten worden. Zie de Fail2ban documentatie voor meer details wat je allemaal kunt configureren. Default staat ‘sshd’ bescherming aan met een IP verbod voor 600 seconden na 5 foute logins.

Gebruik de volgende commando’s voor de huidige status m.b.t. uitsluitingen door Fail2ban:

Als je de configuratie hebt aangepast dan moet je de Fail2ban service restarten met het volgende commando:

Fail2ban is een handige service om je Debian Server nog beter te beschermen en ik raad het dan ook iedereen aan.