Topic: Fail2Ban SSH Brute-Force

[yythoss]

Kann ich nicht bestätigen, ich habe jeden Tag ca. 3 geblockte IP Adressen.

yythoss

[Meiffe]

Läuft bei mir bislang auch ohne Probleme.

[FraunhoferIFF]

Wie kann man fail2ban als Service eintragen?

Oder Autostarten lassen ?

Marcel

[faber38]

trage den start eintrag doch in die /etc/rc.d/rc.locale ein...damit wird es bei jedem neustart ausgeführt

[FraunhoferIFF]

jo vielen dank.

Passt

Marcel

[Meiffe]

Hab nochmal ein bisschen probiert - so geht auch der FTP Bann.


[FTP]
# Option: enabled
# Notes.: enable monitoring for this section.
# Values: [true | false] Default: false
#
enabled = true

# Option: logfile
# Notes.: logfile to monitor.
# Values: FILE Default: /var/log/secure
#
logfile = /var/log/messages


# Option:  port
# Notes.:  specifies port to monitor
# Values:  [ NUM | STRING ]  Default:
#
port = ftp

# Option: timeregex
# Notes.: regex to match timestamp in VSFTPD logfile.
# Values: [Mar 7 17:53:28]
# Default: \S{3}\s{1,2}\d{1,2} \d{2}:\d{2}:\d{2}
#
timeregex = \S{3}\s{1,2}\d{1,2} \d{2}:\d{2}:\d{2}



# Option: timepattern
# Notes.: format used in "timeregex" fields definition. Note that '%' must be
# escaped with '%' (see http://rgruet.free.fr/PQR2.3.html#timeModule)
# Values: TEXT Default: %%b %%d %%H:%%M:%%S
#
timepattern = %%b %%d %%H:%%M:%%S


# Option: failregex
# Notes.: regex to match the password failures messages in the logfile.
# Values: TEXT Default: Authentication failure|Failed password|Invalid user
#

failregex = .* (?P<host>\S+) - no such user .*

[FraunhoferIFF]

sehr gut

Vielen Dank

Marcel