Zum Inhalt springen

Erweiterte Konfigurationsoptionen

Zuletzt geändert von MACH ProForms GmbH am 11.09.2024

MACH ProForms stellt zwei Ausfertigungen der Fail2Ban-Konfigurationen bereit. Eine modulare Konfiguration und eine vereinfachte Konfiguration. Sie sollten den folgenden Abschnitt sorgfältig lesen und sich danach entscheiden, welche Version Sie verwenden möchten, da sie beide sehr spezielle Vorteile und Nachteile haben.

Es ist nicht empfohlen, beide Konfigurationen parallel zu betreiben, dies kann zu Konflikten führen.

Aufbau

Die Verzeichnisstruktur sollte im Verzeichnis /etc/fail2ban so aussehen:

.
|-- fail2ban.conf
|-- jail.conf
|-- paths-common.conf
|-- paths-debian.conf
|-- action.d
|   `-- div. Actions die Fail2Ban ausführen kann
|-- filter.d
|   `-- div. Filter, die Fail2Ban verwenden kann
`-- jail.d
   `-- Standard Jails

In diesen Dateien befinden sich die Standardkonfigurationen, die von Fail2Ban verwendet werden.

Konfigurationen erweitern

Konfigurationen werden nicht direkt manipuliert, sondern mit einer .local-Datei erweitert. Wenn Sie also eine Änderung in der jail.conf vornehmen wollen, dann sollten Sie stattdessen eine jail.local im gleichen Verzeichnis erstellen und dort die gewünschten Änderungen eintragen.

Dies hat den Nebeneffekt, dass die Konfigurationen weitestgehend Versionsunabhängig verwendet werden können. Alle Konfigurationsspezifikationen können auch Jail-Spezifisch angegeben werden.

Whitelisting

Mit dem Wert ignoreip kann eingestellt werden, welche Hosts nicht gebannt werden, auch wenn der Nachrichtenfilter hier verdächtiges Verhalten erkennt. Bei ignoreip kann eine IP-Adresse, eine CIDR Maske oder ein DNS Host angegeben werden. Es können auch mehrere Werte eingetragen werden, die mit einem Leerzeichen voneinander getrennt werden.

Beispiel:

ignoreip = 127.0.0.1/8 www.machproforms.de.de 8.8.8.8

Mit dieser Einstellung würden folgende Hosts von Bans ausgenommen werden:

  • Alle 127.x.x.x Hosts (über 127.0.0.1/8)
  • Der exakte Host www.machproforms.de.de
  • Die exakte IP 8.8.8.8

ignoreip hat normalerweise den Wert 127.0.0.1/8.

Gemeinsamkeiten

Beiden Konfigurationen ist gemein, dass Sie mit Werten in einer Datei Names fs-submission.local, die ebenfalls im jail.d-Verzeichnis liegt, überschrieben werden können.

Die überschreibbaren Werte sind in beiden Fällen gleich:

  • bantime um die Dauer eines Bans zu setzen
  • findtime um die Prüfungszeit festzulegen
  • maxretry um die maximale Anzahl an Einträgen festzulegen, bevor der Ban ausgesprochen wird
  • logpath um das zu lesende Logfile zu bestimmen
  • port um die zu sperrenden Ports festzulegen
  • action um die auszuführende Aktion festzulegen.

Vereinfacht

Die vereinfachte Konfiguration bietet die Möglichkeit, die oben angegebenen Werte Jail-Spezifisch zu ändern. Zudem ist sie einfach zu unterhalten, da alle Konfigurationsoptionen an einem Ort zu finden sind.

Sollten weitere Jails von MACH ProForms geliefert werden, müssen diese die Konfigurationsoptionen ebenfalls separat gesetzt bekommen, um nicht die globalen Standardwerte zu erhalten. Zudem bietet die vereinfachte Version nicht die direkte Möglichkeit eines MACH ProForms spezifischen Mailversands.

Modular

Für die  modulare Konfiguration verwendet MACH ProForms globale Optionen. Diese Optionen können auch für eventuelle zusätzliche Konfigurationen verwendet werden. Zudem bietet diese einen action-shortcut dafür, sowohl den Ban auszusprechen, als auch eine E-Mail an einen vorher festgelegten Admin zu versenden.

Der Nachteil dabei ist, dass die Konfigurationen in mehreren Dateien ausgelagert sind, die eventuell auf Konflikte geprüft werden müssen, wenn Werte überschrieben werden.