Besloten om Fail2ban te gaan gebruiken om het verkeer op vooral de ssh poort te beperken.
Installeren gaat eenvoudig:
# apt-get install fail2ban
Valt me op dat er voor een aantal bestanden worden geplaatst voor zaken die ik niet geinstalleerd heb. Op zich niet erg, maar niet echt netjes. Later maar eens uitzoeken of ik die zonder problemen kan verwijderen.
Daarna status controleren:
# service fail2ban status [ ok ] Status of authentication failure monitor:[....] fail2ban is running.
Voor Debian geldt dat de configuratie in /etc/fail2ban/jail.conf file en /etc/fail2ban/jail.d/defaults-debian.conf gedaan wordt. Omdat deze 2 bestanden in de toekomst mogelijk kunnen wijzigen, wordt geadviseerd om een eigen bestand te maken met de gewenste instellingen:
# vi /etc/fail2ban/jail.d/jail-debian.local
Tot slot nog een herstart om de wijzigingen actief te maken:
# service fail2ban restart
Om meer details over de status te krijgen, kunnen de volgende commando’s gebruikt worden:
# fail2ban-client status # fail2ban-client status sshd
Tot slot, een kleine naslag voor mezelf om de huidige bans te tonen en een ban voor een ip op te heffen:
- Toon gebannede ip’s
# iptables -n -L --line-numbers
# iptables -D f2b-sshd