Wiki-Quellcode von Erweiterte Konfigurationsoptionen
Version 1.1 von MACH ProForms GmbH am 08.10.2020
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | Form-Solutions stellt zwei Ausfertigungen der Fail2Ban-Konfigurationen bereit. Eine modulare | ||
| 2 | Konfiguration und eine vereinfachte Konfiguration. Sie sollten den folgenden Abschnitt sorgfältig | ||
| 3 | lesen und sich danach entscheiden, welche Version Sie verwenden möchten, da sie beide sehr | ||
| 4 | spezielle Vorteile und Nachteile haben. | ||
| 5 | |||
| 6 | Es ist nicht empfohlen, beide Konfigurationen parallel zu betreiben, dies kann zu Konflikten führen. | ||
| 7 | |||
| 8 | ## Aufbau | ||
| 9 | |||
| 10 | Die Verzeichnisstruktur sollte im Verzeichnis `/etc/fail2ban` so aussehen: | ||
| 11 | |||
| 12 | ```bash | ||
| 13 | . | ||
| 14 | |-- fail2ban.conf | ||
| 15 | |-- jail.conf | ||
| 16 | |-- paths-common.conf | ||
| 17 | |-- paths-debian.conf | ||
| 18 | |-- action.d | ||
| 19 | | `-- div. Actions die Fail2Ban ausführen kann | ||
| 20 | |-- filter.d | ||
| 21 | | `-- div. Filter, die Fail2Ban verwenden kann | ||
| 22 | `-- jail.d | ||
| 23 | `-- Standard Jails | ||
| 24 | ``` | ||
| 25 | |||
| 26 | In diesen Dateien befinden sich die Standardkonfigurationen, | ||
| 27 | die von Fail2Ban verwendet werden. | ||
| 28 | |||
| 29 | ## Konfigurationen erweitern | ||
| 30 | |||
| 31 | Konfigurationen werden nicht direkt manipuliert, sondern mit einer | ||
| 32 | `.local`-Datei erweitert. Wenn Sie also eine Änderung in der | ||
| 33 | `jail.conf` vornehmen wollen, dann sollten Sie stattdessen eine | ||
| 34 | `jail.local` im gleichen Verzeichnis erstellen und dort die | ||
| 35 | gewünschten Änderungen eintragen. | ||
| 36 | |||
| 37 | Dies hat den Nebeneffekt, dass die Konfigurationen weitestgehend | ||
| 38 | Versionsunabhängig verwendet werden können. | ||
| 39 | Alle Konfigurationsspezifikationen können auch Jail-Spezifisch angegeben werden. | ||
| 40 | |||
| 41 | ### Whitelisting | ||
| 42 | |||
| 43 | Mit dem Wert `ignoreip` kann eingestellt werden, welche Hosts nicht gebannt werden, auch | ||
| 44 | wenn der Nachrichtenfilter hier verdächtiges Verhalten erkennt. Bei `ignoreip` kann eine | ||
| 45 | IP-Adresse, eine CIDR Maske oder ein DNS Host angegeben werden. Es können auch mehrere | ||
| 46 | Werte eingetragen werden, die mit einem Leerzeichen voneinander getrennt werden. | ||
| 47 | |||
| 48 | Beispiel: | ||
| 49 | |||
| 50 | ```ini | ||
| 51 | ignoreip = 127.0.0.1/8 www.form-solutions.de 8.8.8.8 | ||
| 52 | ``` | ||
| 53 | |||
| 54 | Mit dieser Einstellung würden folgende Hosts von Bans ausgenommen werden: | ||
| 55 | |||
| 56 | * Alle 127.x.x.x Hosts (über `127.0.0.1/8`) | ||
| 57 | * Der exakte Host `www.form-solutions.de` | ||
| 58 | * Die exakte IP `8.8.8.8` | ||
| 59 | |||
| 60 | `ignoreip` hat normalerweise den Wert `127.0.0.1/8`. | ||
| 61 | |||
| 62 | |||
| 63 | ## Gemeinsamkeiten | ||
| 64 | |||
| 65 | Beiden Konfigurationen ist gemein, dass Sie mit Werten in einer Datei Names `fs-submission.local`, | ||
| 66 | die ebenfalls im `jail.d`-Verzeichnis liegt, überschrieben werden können. | ||
| 67 | |||
| 68 | Die überschreibbaren Werte sind in beiden Fällen gleich: | ||
| 69 | |||
| 70 | * `bantime` um die Dauer eines Bans zu setzen | ||
| 71 | * `findtime` um die Prüfungszeit festzulegen | ||
| 72 | * `maxretry` um die maximale Anzahl an Einträgen festzulegen, bevor der Ban ausgesprochen wird | ||
| 73 | * `logpath` um das zu lesende Logfile zu bestimmen | ||
| 74 | * `port` um die zu sperrenden Ports festzulegen | ||
| 75 | * `action` um die auszuführende Aktion festzulegen. | ||
| 76 | |||
| 77 | ## Vereinfacht | ||
| 78 | |||
| 79 | Die [[vereinfachte Konfiguration|Main.04_Security.02_Fail2Ban.02_Konfiguration.01_Vereinfacht]] bietet die Möglichkeit, die oben angegebenen Werte Jail-Spezifisch zu ändern. | ||
| 80 | Zudem ist sie einfach zu unterhalten, da alle Konfigurationsoptionen an einem Ort zu finden sind. | ||
| 81 | |||
| 82 | Sollten weitere Jails von Form-Solutions geliefert werden, müssen diese die Konfigurationsoptionen ebenfalls | ||
| 83 | separat gesetzt bekommen, um nicht die globalen Standardwerte zu erhalten. | ||
| 84 | Zudem bietet die vereinfachte Version nicht die direkte Möglichkeit eines Form-Solutions spezifischen | ||
| 85 | Mailversands. | ||
| 86 | |||
| 87 | ## Modular | ||
| 88 | |||
| 89 | Die [[modulare Konfiguration|Main.04_Security.02_Fail2Ban.02_Konfiguration.02_Modular]] verwendet Form-Solutions globale Optionen, also Optionen, die auch für | ||
| 90 | eventuelle zusätzliche Konfigurationen verwendet werden können. Zudem bietet diese einen `action-shortcut` | ||
| 91 | dafür, sowohl den Ban auszusprechen, als auch eine E-Mail an einen vorher festgelegten Admin zu versenden. | ||
| 92 | |||
| 93 | Der Nachteil dabei ist, dass die Konfigurationen in mehreren Dateien ausgelagert sind, die eventuell | ||
| 94 | auf Konflikte geprüft werden müssen, wenn Werte überschrieben werden. |