ITnotez

Leidvolles, Tipps und Know-How aus eigener Erfahrung

Fail2Ban unter Debian 11/12

Fail2ban loggt fehlgeschlagene Logins und kann die IP-Adressen, von denen diese kommen, sperren.

apt install fail2ban

Bisher musste (!?) man immer die Datei /etc/fail2ban/jail.local erstellen durch kopieren aus /etc/fail2ban/jail.conf. Mit diesem Vorgehen startet Fail2ban unter Debian 11 / 12 aber nicht bzw. gab die Fehlermeldung aus:

Failed to access socket path: /var/run/fail2ban/fail2ban.sock. Is fail2ban running?

Offenbar genügt es, die Datei /etc/fail2ban/jail.conf zu bearbeiten. Für ssh z.B. im Abschnitt [sshd] den Port auf ssh lassen oder ändern:

[sshd]
port = 2222
logpath = %(sshd_log)s
backend = %(sshd_backend)s

!!! Es gibt im oberen Bereich der Datei jail.conf einen auskommentierten Abschnitt [sshd], diesen bitte unkonfiguriert lassen!

fail2ban jail.conf

In der Datei /etc/default/fail2ban steht nichts Wichtiges bzw. diese kann so gelassen werden, wie sie nach der Installation daherkommt. Starten / enablen dann wie üblich mit:

systemctl enable fail2ban && systemctl start fail2ban && systemctl status fail2ban

Verfolgen lässt sich der Status mit:

systemctl status fail2ban

und

tail -f /var/log/fail2ban.log

Beispiel:

2025-02-09 14:41:35,572 fail2ban.actions [15573]: WARNING [sshd] 103.181.142.170 already banned
2025-02-09 14:41:55,924 fail2ban.filter [15573]: INFO [sshd] Found 93.120.240.202 - 2024-02-09 14:41:55
2025-02-09 14:41:56,186 fail2ban.actions [15573]: NOTICE [sshd] Ban 93.120.240.202

Jails

Fail2Ban arbeitet mit sogenannten Jails. Da wir im obigen Beispiel sshd definiert haben, ist dieses auch bereits der Name eines Jails:

fail2ban-client status

Status
|- Number of jail: 1
`- Jail list: sshd

Dessen Status lässt sich abfragen mit

fail2ban-client status sshd

Die Liste der (vorübergehend) gesperrten IPs kann durchaus imposant sein, nach dem Motto „Viel Feind – viel Ehr‘!“ 😉

fail2ban jail sshd 2222

Falls der Fehler

Please check jail has possibly a timezone issue.

auftreten sollte, stimmen die Timezone-Einstellungen (noch) nicht. Dann mit

dpkg-reconfigure

noch die korrekte Zeitzone setzen (z.B. Europ / Berlin). Btw: wo bleibt Hamburg in der Debian-Liste??