Eine Firewall auf deinem Server zu installieren, ist so ähnlich, wie Mike Tyson als Türsteher für deine Geburtstagsparty einzustellen. Er wird die meisten ungebetenen Gäste abhalten, aber es besteht immer das Risiko, dass er auch Onkel Herbert rausschmeißt, der nur ein wenig zu enthusiastisch mit der Luftgitarre umherfuchtelt. Hier kommt Fail2ban ins Spiel, das wir gerne als den etwas klügeren, weniger muskelbepackten Bruder von Mike betrachten.
Fail2ban ist ein Intrusion Prevention System, das den Zugriff auf deinen Server überwacht und bösartigen Traffic abwehrt, ohne legitime Nutzer auszusperren. Es tut dies, indem es "Jails" und "Filter" verwendet - keine Sorge, wir haben keine echten Gefängnisse im Keller von PLUTEX, es handelt sich hier um virtuelle Gefängnisse. Ein Jail ist eine Art Sicherheitszone, die Fail2ban für bestimmte Dienste (wie SSH, FTP, etc.) erstellt. Wenn ein Nutzer zu viele fehlgeschlagene Anmeldeversuche hat, wird er von Fail2ban in dieses Jail gesteckt. Der Filter ist das, was bestimmt, wie viele fehlgeschlagene Versuche zu viele sind.
Nun, jeder ist mal an einem schlechten Tag mit dem falschen Passwort gescheitert. Das ist der Grund, warum Fail2ban so konfiguriert werden kann, dass "False Positives" (also legitime Nutzer, die als bösartig eingestuft werden) minimiert werden. Der Trick besteht darin, die Grenze zwischen Sicherheit und Benutzerfreundlichkeit zu finden.
Zuerst musst du Fail2ban installieren, was bei Debian so einfach ist wie ein "sudo apt-get install fail2ban". Dann kannst du deine Jails in der Datei /etc/fail2ban/jail.local konfigurieren. Der Abschnitt [DEFAULT] legt die Standardwerte für alle Jails fest, während spezifische Abschnitte (wie [ssh] oder [apache]) diese Werte überschreiben können.
Die wichtigsten Parameter zum Einstellen sind "maxretry" (wie viele fehlgeschlagene Versuche erlaubt sind) und "findtime" (wie lange Fail2ban zurückblickt, um diese Versuche zu zählen). Je niedriger diese Werte, desto strenger ist die Sicherheit - aber auch desto höher ist das Risiko von False Positives.
Die Filter werden in der Datei /etc/fail2ban/filter.d/ definiert. Ein Filter besteht aus regulären Ausdrücken, die in den Logdateien nach Anzeichen für bösartigen Traffic suchen. Es gibt viele vordefinierte Filter, aber du kannst auch deine eigenen erstellen, wenn du dich wirklich nerdig fühlst.
Mit Fail2ban auf deinem Server, kannst du beruhigt schlafen, wissend, dass dein digitaler Türsteher sowohl Onkel Herbert als auch die ungeliebten Party-Crasher in Schach hält. Und falls du Hilfe beim Einrichten brauchst, stehen wir von PLUTEX immer bereit, mit unserem Superhelden-Umhang und unserem nerdigen Wissen.