Beim Betrieb von Serverdiensten im Rechenzentrum werden zwangsläufig auch diverse Ports für das Internet freigeschalten, um Benutzern und Admins Zugang zu ermöglichen. Trotz sorgfältig eingesetzter Firewalltechnik können dabei schwache Passwörter von einem Angreifer aus dem Internet ggf. leicht erraten werden (Brute Force Attacke).
Wir schließen diese Lücke mit dem Programm fail2ban.
Es funktioniert nach dem Prinzip: erfolglose Loginversuche erkennen und nach einer festgelegten Anzahl die IP-Adresse sperren. Fail2ban ist für Posix-Betriebssysteme erhältlich, so ist z.B. bei SuSE- und Ubuntu-Linux ein vorkonfiguriertes Paket in der Distribution enthalten. Es lassen sich mehrere Dienste (auch gleichzeitig) damit überwachen, u.a. Apache, Lighttpd, sshd, vsftpd, qmail, Postfix und Courier Mail Server. Dabei werden die Logausgaben vom fail2ban-Daemon laufend überwacht und im Falle einer Attacke der oder die Angreifer per IP-Tables Regel verbannt.
Fail2ban ist auf allen gehosteten Servern unserer Kunden, die mit einem Wartungsvertrag ausgestattet sind, sowie unseren Eigenen im Einsatz. Dank der einfachen Handhabung entsteht dabei kaum administrativer Aufwand.

IT bleibt spannend!
Viele Grüße
Hannes Wilhelm

Quellen:
http://www.fail2ban.org/wiki/index.php/Main_Page
http://de.wikipedia.org/wiki/Fail2ban