Fail2ban richtig konfigurieren – inkl. eigenen Filtern

Warum Fail2ban?

Fail2ban schützt Linux-Server vor Brute-Force-Angriffen, indem verdächtige IP-Adressen automatisch blockiert werden. In diesem Artikel erfährst du, wie du Fail2ban installierst, konfigurierst und sogar eigene Filter definierst.

Installation

sudo apt update
sudo apt install fail2ban

Fail2ban aktivieren & Status prüfen

sudo systemctl enable --now fail2ban
sudo fail2ban-client status

Konfigurationsdateien

Die globale Konfiguration liegt in:

/etc/fail2ban/jail.conf

Eigene Anpassungen gehören nach:

/etc/fail2ban/jail.local

Beispiel: SSH absichern

[sshd]
enabled = true
maxretry = 5
findtime = 10m
bantime = 1h

Eigene Fail2ban-Filter erstellen

Filter liegen unter:

/etc/fail2ban/filter.d/

Beispiel: Eigener Filter für Nginx 404 Flooding

/etc/fail2ban/filter.d/nginx-404.conf:

[Definition]
failregex = ^ - .* "(GET|POST).*" 404
ignoreregex =

Jail dazu

[nginx-404]
enabled = true
port = http,https
filter = nginx-404
logpath = /var/log/nginx/access.log
maxretry = 20
findtime = 120
bantime = 3600

Neustart

sudo systemctl restart fail2ban

Fazit

Mit Fail2ban sicherst du deinen Linux-Server wirkungsvoll gegen wiederholte Angriffe ab. Eigene Filter ermöglichen eine maßgeschneiderte Absicherung für unterschiedliche Services.