So verwenden Sie Fail2Ban, um die Sicherheit in Virtualmin zu verbessern

Im heutigen digitalen Zeitalter hat die Serversicherheit für jeden Systemadministrator Priorität. Virtualmin, ein leistungsstarkes Webserver-Verwaltungstool, bildet da keine Ausnahme. Eine der effektivsten Möglichkeiten, die Sicherheit in Virtualmin zu verbessern, ist die Verwendung von Fail2Ban. In diesem Artikel wird ausführlich erläutert, wie man Fail2Ban installiert, Sicherheitsregeln konfiguriert, den Zugriff überwacht und auf Vorfälle reagiert, wobei sich alles auf die Virtualmin-Plattform konzentriert.

Fail2Ban installieren

Der erste Schritt zur Verbesserung der Sicherheit in Virtualmin ist die Installation von Fail2Ban. Fail2Ban ist ein Tool, das Ihren Server vor Brute-Force-Angriffen und anderen unbefugten Zugriffsversuchen schützt.

Schritt 1: Aktualisieren Sie das System

Bevor Sie Fail2Ban installieren, sollten Sie sicherstellen, dass Ihr System vollständig aktualisiert ist. Dies kann mit den folgenden Befehlen erfolgen:

Sudo apt update Sudo apt upgrade

Schritt 2: Installieren Sie Fail2Ban

Die Installation von Fail2Ban ist recht einfach. Auf den meisten Linux-Distributionen können Sie Fail2Ban mit dem folgenden Befehl installieren:

Sudo apt install fail2ban

Schritt 3: Überprüfen Sie die Installation

Sobald die Installation abgeschlossen ist, können Sie mit dem folgenden Befehl überprüfen, ob Fail2Ban korrekt installiert ist und funktioniert:

sudo systemctl status fail2ban

Regelkonfiguration

Die wahre Stärke von Fail2Ban liegt in seiner Fähigkeit, benutzerdefinierte Regeln zu erstellen, die den spezifischen Anforderungen Ihres Servers entsprechen.

Schritt 1: Erstellen Sie eine Kopie der Konfigurationsdatei

Es wird empfohlen, die standardmäßige Fail2Ban-Konfigurationsdatei (/etc/fail2ban/jail.conf). Erstellen Sie stattdessen eine lokale Kopie, um zu verhindern, dass Updates Ihre benutzerdefinierten Einstellungen überschreiben:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Schritt 2: Richten Sie die Datei ein jail.local

Öffnen Sie die Datei jail.local mit Ihrem bevorzugten Texteditor:

sudo nano /etc/fail2ban/jail.local

Um den SSH-Server zu sichern, bearbeiten Sie den Abschnitt [sshd]:

[sshd] aktiviert = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3 bantime = 3600

Hier, maxretry bestimmt die Anzahl der zulässigen Fehlversuche, bevor die Sperre aktiviert wird und Bantime Definiert die Dauer des Verbots in Sekunden.

Schritt 3: Regeln für Virtualmin konfigurieren

Um Virtualmin zu schützen, können Sie der Datei einen bestimmten Abschnitt hinzufügen jail.local:

[virtualmin-auth] aktiviert = wahr filter = virtualmin-auth logpath = /var/log/virtualmin/auth.log maxretry = 3 bantime = 3600

Stellen Sie sicher Protokollpfad Zeigen Sie auf die richtige Datei, die Virtualmin-Anmeldeversuche protokolliert.

Zugangsüberwachung

Fail2Ban blockiert nicht nur böswillige Zugriffsversuche, sondern ermöglicht Ihnen auch die Überwachung der Zugriffe auf Ihren Server. Dies ist entscheidend, um Muster und potenzielle Bedrohungen zu erkennen, bevor sie zu einem ernsthaften Problem werden.

Protokollüberprüfung

Fail2Ban-Protokolle können überprüft werden, um zu überprüfen, welche IPs aus welchen Gründen blockiert wurden. Verwenden Sie den folgenden Befehl, um die Protokolle zu überprüfen:

sudo tail -f /var/log/fail2ban.log

Verwenden von fail2ban-client

Der Befehl fail2ban-Client ist ein leistungsstarkes Tool zur Interaktion mit Fail2Ban. Hier können Sie sich detailliert über den aktuellen Status von Fail2Ban informieren:

sudo fail2ban-client-Status

Um spezifische Details zu einem Gefängnis zu erhalten (z. B. sshd):

sudo fail2ban-client status sshd

Reaktion auf Vorfälle

Eine schnelle und effektive Reaktion auf Sicherheitsvorfälle ist entscheidend für die Aufrechterhaltung der Integrität Ihres Servers. Im Folgenden finden Sie einige schnelle Maßnahmen, die Sie als Reaktion auf von Fail2Ban erkannte Vorfälle ergreifen können.

Entsperren Sie eine IP

Wenn Sie festgestellt haben, dass eine IP versehentlich blockiert wurde, können Sie die Sperrung mit dem folgenden Befehl aufheben:

sudo fail2ban-client set sshd unbanip 

Fügen Sie der Whitelist eine IP hinzu

Um zu verhindern, dass eine bestimmte IP blockiert wird (z. B. die IP eines vertrauenswürdigen Administrators), können Sie diese zur Whitelist hinzufügen. Bearbeiten Sie die Datei jail.local:

ignorierip = 127.0.0.1/8 

Regeln überprüfen und anpassen

Wenn Sie ein Muster bei fehlgeschlagenen Anmeldeversuchen bemerken, kann es notwendig sein, Ihre Fail2Ban-Regeln anzupassen, um die Sicherheit zu erhöhen. Sie können beispielsweise die Anzahl der zulässigen Versuche reduzieren (maxretry) oder die Dauer der Blöcke erhöhen (Bantime).

Stellen Sie den Fail2Ban-Dienst wieder her

Nachdem Sie Anpassungen an der Konfiguration vorgenommen haben, ist es notwendig, Fail2Ban neu zu starten, damit die Änderungen wirksam werden:

sudo systemctl restart fail2ban

Schlussfolgerungen

Fail2Ban ist ein unverzichtbares Tool für jeden Serveradministrator, der die Sicherheit von Virtualmin verbessern möchte. Indem Sie die in diesem Artikel beschriebenen Schritte zur Installation, Regelkonfiguration, Zugriffsüberwachung und Reaktion auf Vorfälle befolgen, können Sie Ihren Server effektiv vor einer Vielzahl von Bedrohungen schützen. Bleiben Sie stets wachsam und passen Sie Ihre Einstellungen bei Bedarf an, um maximalen Schutz zu gewährleisten.

Denken Sie daran, dass die Sicherheit Ihres Servers eine fortlaufende Aufgabe ist. Die Kombination aus effektiven Tools wie Fail2Ban und proaktiven Verwaltungspraktiken hilft Ihnen, Ihren Server jederzeit sicher und funktionsfähig zu halten.