#fail2ban

Wie ich mich sehr dramatisch selber aus meinem Server aussperre

Ich will für den Kommunalwahlkampf die Website unseres Partei-Ortsverbandes aufpeppen. Die läuft auf WordPress, was ich sehr gut kenne. 

Auf meinem eigenen Server habe ich eine Sandbox eingerichtet, über die ich das Projekt abwickeln kann. Die Sandbox ist einfach ein Servername auf meiner eigenen Domain, also zum Beispiel sndbx0.doamin.de

Heute will ich dem Vorstand zeigen, was ich umgesetzt habe und warum. 

Auf der Sandbox liegt ein Passwortschutz. Bevor man irgendetwas sieht, muss man in ein aufpoppendes Fenster einen User und ein Passwort eingeben. Damit sperre ich auch Google aus – wenn mal irgendjemand versehentlich die Adresse meiner Sandbox bei Google eingibt, würde sie möglicherweise gescannt und wäre als scheinbare Webseite der Partei auffindbar.

Ich vertippe mich beim ersten Mal. Und nochmal. Versuche das andere Passwort. Geht auch nicht.

Ich logge mich in die Adminoberfläche ein und deaktiviere die Passwörter.

Im Tab mit der Sandbox kommt nun eine Fehlermeldung, dass der Server die Verbindung ablehnt.

Auch auf meiner Website. Auch auf den anderen ca. 10 Domains, die ich dort hoste. 

Ich boote den Server über das Admininterface neu. 

Hilft nicht.

Möglicherweise hat die Adminüberfläche die Konfiguration der Sandbox so zersemmelt, dass der Webserver gar nicht mehr läuft. Ich deaktiviere die Sandbox im Webserver, um wenigstens die anderen Domains wieder online zu bekommen – kein Erfolg.

Während ein anderer Tagesordnungspunkt vorgezogen wird, versuche ich, den Fehler zu finden. Ich logge mich per Kommandozeile ein. Die Konfiguration scheint ok, der Webserver läuft. Im Log sehe ich sogar Zugriffe von einem Downtime-Monitor, der mir eine Mail schreiben sollte, wenn die Webseiten nicht erreichbar sind.

Komisch.

Ich versuche es per Handy.

Kein Erfolg. Liegt es vielleicht am Netz, das wir im Büro haben und in dessen WLAN ich bin?

Ich deaktiviere das WLAN. Zack, alle Webseiten funktionieren.

Mir schwant was. Auf dem Server läuft ein Dienst namens “fail2ban”, der wie ein Türsteher alle Netzwerkadressen mit mehr als drei Login-Fehlversuchen komplett für 24 Stunden vom Webserver aussperrt. Brute Force Abwehr nennt man das. 

Ich werfe einen Blick in die Konfiguration des Tools. Zwei Adressen werden aktuell gesperrt. Eine davon ist überraschenderweise die unseres Routers, mit der wir alle ins Netz gehen. Ich setze sie auf die Liste “Vertrauenswürdige Adressen”, sie wird jetzt nie wieder gesperrt und der Zugriff auf die Website funktioniert wieder.

Das Ganze ist noch peinlicher, weil mir exakt dasselbe auch zu Hause passiert ist.

Zweimal. 

Aber wir sind ja unter uns, ihr erzählt das ja nicht weiter.

Make things more secure in just a few minutes.

Fail2Ban is dead. If you're still using it, you're locking the door after the thief is already inside. 🚪💀

The modern internet is way too aggressive for old-school, reactive firewalls.

Enter CrowdSec: The "Waze of Cyber Security." It uses a global, crowdsourced database. If a hacker attacks a server in Germany right now, CrowdSec instantly flags the IP. Your server in your own data center will automatically block that IP before they even try to scan your ports. Proactive defense > Reactive defense.

We wrote the ultimate SysAdmin guide on how to ditch Fail2Ban and install CrowdSec on your Dedicated Server.

Fail2ban is a powerful tool for protecting your Ubuntu or Debian server against brute-force attacks. However, sometimes legitimate users may be incorrectly banned due to repeated login attempts or other activities that resemble an attack pattern. This is where whitelisting trusted IPs in Fail2ban comes in. By adding trusted IP addresses to Fail2ban’s whitelist, you can ensure that your server remains secure without inadvertently blocking trusted users.

Why Whitelist IPs in Fail2ban?

Fail2ban works by monitoring log files and blocking IP addresses that show suspicious behavior, such as multiple failed login attempts. However, there are instances when trusted IPs, such as those used by your internal network, administrators, or certain services, might also get blocked. Whitelisting these IPs ensures they can always access your server, preventing disruptions while maintaining robust security against unauthorized users.

Step 1: Access and Edit the Fail2ban Configuration File

To whitelist an IP in Fail2ban, you first need to access the Fail2ban configuration file and make necessary edits.

Open the Fail2ban configuration file with a text editor:

sudo nano /etc/fail2ban/jail.local

If this file does not exist, you can create it by copying the default configuration file:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Scroll down to the [DEFAULT] section. Here, you can add the IP addresses you want to whitelist.

Add trusted IPs under the ignoreip directive. For example, to whitelist a specific IP address (e.g., 192.168.1.100) and an entire subnet (192.168.1.0/24), you would add the following line:

ignoreip = 127.0.0.1/8 192.168.1.100 192.168.1.0/24

The 127.0.0.1/8 is used to whitelist the localhost, and the rest are the IPs you want to keep from being banned.

Save the changes by pressing CTRL+O and then exit the editor with CTRL+X.

Step 2: Restart Fail2ban for Changes to Take Effect

Once you’ve added the trusted IPs to the ignoreip list, the next step is to restart Fail2ban so that the new configuration takes effect.

Restart the Fail2ban service:

sudo systemctl restart fail2ban

To ensure Fail2ban is running correctly and your changes have been applied, check the status of the Fail2ban service:

sudo systemctl status fail2ban

This should confirm that Fail2ban is active and running with the new settings.

Step 3: Verify the Trusted IPs Are Whitelisted

After restarting Fail2ban, it’s important to verify that the trusted IPs are indeed whitelisted and can access your server without issues.

Check the Fail2ban log file to see if there are any bans or warnings that might indicate problems:

sudo tail -f /var/log/fail2ban.log

Test by connecting from the whitelisted IP. Attempt to log in from one of the whitelisted IPs to make sure it doesn’t get banned.

Best Practices for Fail2ban and IP Whitelisting

Whitelist carefully: Only add IPs that you trust to avoid leaving your server vulnerable.

Use firewall rules: Combine Fail2ban with a strong firewall configuration for added security.

Regularly check logs: Periodically review your logs to ensure there are no security issues.

Conclusion: Ensure Secure Access with IP Whitelisting in Fail2ban

Whitelisting trusted IPs in Fail2ban is a simple but effective way to protect your Ubuntu or Debian server from unauthorized access while ensuring legitimate users can always reach your system. By following the steps outlined above, you can easily configure Fail2ban to allow trusted IPs and prevent unnecessary disruptions to your workflow.

Windows的使用者大多都習慣使用圖形介面，而當Windows使用者要去連線使用Linux的環境時，大多都是使用文字介面做連線。而對於文字介面不熟悉的使用者也可以使用Xrdp(X windows Remote Desktop Protocol)這套的中繼程式來幫忙完成Windows遠端桌面可以直接連接Linux。而近來在對於惡意攻擊這塊除了寫死防火牆等網路路由設定外，也可以 安裝Fail2ban 這個套件來輔助大家達到封鎖惡意攻擊的常用連線。

Fail2ban is open-source software used to increase server security by automatically blocking IP addresses that attempt unauthorised access. Fail2ban accomplishes this by monitoring server logs for specific patterns of repeated failed login attempts, which can indicate a brute-force attack attempt or other malicious activity. After identifying a malicious IP address, Fail2ban can block it by adding…