fail2ban (SSH) für komplettes Netz

16/09/2010 - 14:45 von Paul Muster | Report spam
Hallo,


wie kann man fail2ban nicht nur für einen Host, sondern für ein ganzes
Netz nutzen?

Szenario: Diverse Maschinen, eine davon Gateway/Router, eine
syslog-Server. Alle SSH-Server sollen von fail2ban "geschützt" werden.

Wie macht man das konzeptionell? Es ist sicherlich nicht sinnvoll, auf
jedem Server einzeln fail2ban zu installieren und zu konfigurieren.
Vielmehr sollte es wohl auf das Gateway.

Hat jemand einen Lektüretipp für mich? Die Howtos, die ich finde,
beziehen sich immer nur auf einen einzigen Host...


(Bitte ein Fup2 setzen, wo ihr es passender findet.)


Danke & viele Grüße

Paul
 

Lesen sie die antworten

#1 Sven Hartge
16/09/2010 - 16:08 | Warnen spam
Paul Muster wrote:

wie kann man fail2ban nicht nur für einen Host, sondern für ein ganzes
Netz nutzen?

Szenario: Diverse Maschinen, eine davon Gateway/Router, eine
syslog-Server. Alle SSH-Server sollen von fail2ban "geschützt" werden.

Wie macht man das konzeptionell? Es ist sicherlich nicht sinnvoll, auf
jedem Server einzeln fail2ban zu installieren und zu konfigurieren.
Vielmehr sollte es wohl auf das Gateway.



Ich würde das so machen:

Server syslog--> Gateway

alternativ:

Server syslog--> syslog-Server mit Filter syslog--> Gateway

(der Filter, damit nur relevante Logs zum Gateway kommen und dort
nicht für unnötige Last sorgen)

Auf dem Gateway dann eine passende fail2ban-Konfiguration, die das Log
bzw. die Logs auswertet und entsprechend agiert.

fail2ban ist ja sehr flexibel in dem, was es auswertet und was es bei
entsprechenden Triggern macht.



Sig lost. Core dumped.

Ähnliche fragen