Wiki-Quellcode von Erweiterte Konfigurationsoptionen
Zuletzt geändert von MACH ProForms GmbH am 11.09.2024
Verstecke letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
 |
4.1 | 1 | MACH ProForms stellt zwei Ausfertigungen der Fail2Ban-Konfigurationen bereit. Eine modulare Konfiguration und eine vereinfachte Konfiguration. Sie sollten den folgenden Abschnitt sorgfältig lesen und sich danach entscheiden, welche Version Sie verwenden möchten, da sie beide sehr spezielle Vorteile und Nachteile haben. |
| |
1.1 | 2 | |
| 3 | Es ist nicht empfohlen, beide Konfigurationen parallel zu betreiben, dies kann zu Konflikten führen. | ||
| 4 | |||
| 5 | ## Aufbau | ||
| 6 | |||
| 7 | Die Verzeichnisstruktur sollte im Verzeichnis `/etc/fail2ban` so aussehen: | ||
| 8 | |||
| 9 | ```bash | ||
| 10 | . | ||
| 11 | |-- fail2ban.conf | ||
| 12 | |-- jail.conf | ||
| 13 | |-- paths-common.conf | ||
| 14 | |-- paths-debian.conf | ||
| 15 | |-- action.d | ||
| 16 | | `-- div. Actions die Fail2Ban ausführen kann | ||
| 17 | |-- filter.d | ||
| 18 | | `-- div. Filter, die Fail2Ban verwenden kann | ||
| 19 | `-- jail.d | ||
| 20 | `-- Standard Jails | ||
| 21 | ``` | ||
| 22 | |||
| |
2.1 | 23 | In diesen Dateien befinden sich die Standardkonfigurationen, die von Fail2Ban verwendet werden. |
| |
1.1 | 24 | |
| 25 | ## Konfigurationen erweitern | ||
| 26 | |||
| |
2.1 | 27 | Konfigurationen werden nicht direkt manipuliert, sondern mit einer `.local`-Datei erweitert. Wenn Sie also eine Änderung in der `jail.conf` vornehmen wollen, dann sollten Sie stattdessen eine `jail.local` im gleichen Verzeichnis erstellen und dort die gewünschten Änderungen eintragen. |
| |
1.1 | 28 | |
| |
4.1 | 29 | Dies hat den Nebeneffekt, dass die Konfigurationen weitestgehend Versionsunabhängig verwendet werden können. Alle Konfigurationsspezifikationen können auch Jail-Spezifisch angegeben werden. |
| |
1.1 | 30 | |
| 31 | ### Whitelisting | ||
| 32 | |||
| |
2.1 | 33 | Mit dem Wert `ignoreip` kann eingestellt werden, welche Hosts nicht gebannt werden, auch wenn der Nachrichtenfilter hier verdächtiges Verhalten erkennt. Bei `ignoreip` kann eine IP-Adresse, eine CIDR Maske oder ein DNS Host angegeben werden. Es können auch mehrere Werte eingetragen werden, die mit einem Leerzeichen voneinander getrennt werden. |
| |
1.1 | 34 | |
| 35 | Beispiel: | ||
| 36 | |||
| 37 | ```ini | ||
| |
7.1 | 38 | ignoreip = 127.0.0.1/8 www.machproforms.de.de 8.8.8.8 |
| |
1.1 | 39 | ``` |
| 40 | |||
| 41 | Mit dieser Einstellung würden folgende Hosts von Bans ausgenommen werden: | ||
| 42 | |||
| |
4.1 | 43 | * Alle 127.x.x.x Hosts (über `127.0.0.1/8`) |
| |
7.1 | 44 | * Der exakte Host `www.machproforms.de.de` |
| |
4.1 | 45 | * Die exakte IP `8.8.8.8` |
| |
1.1 | 46 | |
| 47 | `ignoreip` hat normalerweise den Wert `127.0.0.1/8`. | ||
| 48 | |||
| 49 | ## Gemeinsamkeiten | ||
| 50 | |||
| |
2.1 | 51 | Beiden Konfigurationen ist gemein, dass Sie mit Werten in einer Datei Names `fs-submission.local`, die ebenfalls im `jail.d`-Verzeichnis liegt, überschrieben werden können. |
| |
1.1 | 52 | |
| 53 | Die überschreibbaren Werte sind in beiden Fällen gleich: | ||
| 54 | |||
| |
4.1 | 55 | * `bantime` um die Dauer eines Bans zu setzen |
| 56 | * `findtime` um die Prüfungszeit festzulegen | ||
| 57 | * `maxretry` um die maximale Anzahl an Einträgen festzulegen, bevor der Ban ausgesprochen wird | ||
| 58 | * `logpath` um das zu lesende Logfile zu bestimmen | ||
| 59 | * `port` um die zu sperrenden Ports festzulegen | ||
| 60 | * `action` um die auszuführende Aktion festzulegen. | ||
| |
1.1 | 61 | |
| 62 | ## Vereinfacht | ||
| 63 | |||
| |
4.1 | 64 | Die [[vereinfachte Konfiguration|Main.05_Security.02_Fail2Ban.02_Konfiguration.01_Vereinfacht]] bietet die Möglichkeit, die oben angegebenen Werte Jail-Spezifisch zu ändern. Zudem ist sie einfach zu unterhalten, da alle Konfigurationsoptionen an einem Ort zu finden sind. |
| |
1.1 | 65 | |
| |
5.1 | 66 | Sollten weitere Jails von MACH ProForms geliefert werden, müssen diese die Konfigurationsoptionen ebenfalls separat gesetzt bekommen, um nicht die globalen Standardwerte zu erhalten. Zudem bietet die vereinfachte Version nicht die direkte Möglichkeit eines MACH ProForms spezifischen Mailversands. |
| |
1.1 | 67 | |
| 68 | ## Modular | ||
| 69 | |||
| |
6.1 | 70 | Für die [[modulare Konfiguration|Main.05_Security.02_Fail2Ban.02_Konfiguration.02_Modular]] verwendet MACH ProForms globale Optionen. Diese Optionen können auch für eventuelle zusätzliche Konfigurationen verwendet werden. Zudem bietet diese einen `action-shortcut` dafür, sowohl den Ban auszusprechen, als auch eine E-Mail an einen vorher festgelegten Admin zu versenden. |
| |
1.1 | 71 | |
| |
2.1 | 72 | Der Nachteil dabei ist, dass die Konfigurationen in mehreren Dateien ausgelagert sind, die eventuell auf Konflikte geprüft werden müssen, wenn Werte überschrieben werden. |