{"id":70,"date":"2026-06-12T16:21:34","date_gmt":"2026-06-12T16:21:34","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/12\/fail2ban-einrichten\/"},"modified":"2026-06-12T16:23:04","modified_gmt":"2026-06-12T16:23:04","slug":"fail2ban-einrichten","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/2026\/06\/12\/fail2ban-einrichten\/","title":{"rendered":"Fail2ban einrichten: SSH-Schutz in 12 Schritten [2026]"},"content":{"rendered":"\n

Jeder Linux-Server mit einem offenen SSH-Port wird angegriffen, und zwar permanent. Sobald eine \u00f6ffentliche IPv4-Adresse erreichbar ist, beginnen automatisierte Botnetze innerhalb von Minuten, Benutzernamen und Passw\u00f6rter durchzuprobieren. Eine gro\u00dfe SSH-Honeypot-Studie protokollierte insgesamt rund 11 Milliarden Angriffsversuche, davon etwa 7,9 Milliarden reine Brute-Force-Versuche auf Passw\u00f6rter und Schl\u00fcssel. F\u00fcr einen einzelnen, frisch aufgesetzten Root-Server in einem Wiener Rechenzentrum bedeutet das in der Praxis hunderte bis tausende fehlgeschlagene Login-Versuche pro Tag.<\/p>\n\n\n\n

Fail2ban<\/strong> ist die seit Jahren etablierte Antwort darauf. Das Open-Source-Werkzeug liest Ihre Logdateien, erkennt Muster fehlgeschlagener Anmeldungen und sperrt die verantwortlichen IP-Adressen automatisch \u00fcber die Firewall. Diese Anleitung f\u00fchrt Sie in 12 Schritten von der Installation bis zur produktionsreifen Konfiguration. Sie brauchen daf\u00fcr rund 30 Minuten, einen Linux-Server und grundlegende Kommandozeilen-Kenntnisse. Am Ende l\u00e4uft auf Ihrem System ein Schutz, der Brute-Force-Angriffe auf SSH, Webserver und Mailserver eigenst\u00e4ndig abwehrt.<\/p>\n\n\n\n

Wir arbeiten mit der aktuellen stabilen Fail2ban-Version 1.1.0 und zeigen die Konfiguration f\u00fcr Debian 12 und Ubuntu 24.04 LTS. Alle Befehle, Konfigurationsdateien und Ausgabebeispiele sind so gehalten, dass Sie sie direkt \u00fcbernehmen k\u00f6nnen. Am Schluss finden Sie ein komplettes, kommentiertes Beispielprojekt zum Kopieren, eine Troubleshooting-Tabelle und einen Vergleich mit den Alternativen CrowdSec und sshguard.<\/p>\n\n\n\n

Was ist Fail2ban und wie funktioniert der Brute-Force-Schutz?<\/h2>\n\n\n\n

Fail2ban ist ein in Python geschriebener Hintergrunddienst, der kontinuierlich Logdateien und Systemd-Journale \u00fcberwacht. Es funktioniert nach einem einfachen, aber wirksamen Prinzip: Ein Filter<\/strong> beschreibt per regul\u00e4rem Ausdruck, wie eine verd\u00e4chtige Zeile aussieht (etwa “Failed password for root from 203.0.113.5”). Ein Jail<\/strong> verkn\u00fcpft diesen Filter mit einer Logquelle und einer Aktion. \u00dcberschreitet eine IP-Adresse innerhalb eines Zeitfensters die erlaubte Anzahl an Fehlversuchen, schreibt Fail2ban eine Sperrregel in die Firewall.<\/p>\n\n\n\n

Drei Parameter steuern dieses Verhalten. maxretry<\/strong> legt fest, wie viele Fehlversuche erlaubt sind. findtime<\/strong> bestimmt das Beobachtungsfenster, innerhalb dessen diese Versuche gez\u00e4hlt werden. bantime<\/strong> gibt an, wie lange die Sperre gilt. Ein Beispiel: Bei maxretry 5, findtime 10 Minuten und bantime 1 Stunde wird eine IP gesperrt, sobald sie innerhalb von 10 Minuten f\u00fcnfmal scheitert, und bleibt eine Stunde ausgesperrt. Genau diese Werte sind die Standardvorgaben in der mitgelieferten jail.conf.<\/p>\n\n\n\n

Der entscheidende Punkt: Fail2ban ersetzt keine starken Passw\u00f6rter und keine SSH-Schl\u00fcssel, sondern reduziert die Angriffsfl\u00e4che und entlastet Ihre Logs. Wer Brute-Force-Angriffe vollst\u00e4ndig ausschlie\u00dfen will, deaktiviert die Passwort-Authentifizierung und nutzt ausschlie\u00dflich Schl\u00fcssel. Fail2ban bleibt trotzdem sinnvoll, weil es Bots fr\u00fchzeitig blockt, Ihre Logdateien sauber h\u00e4lt und auch andere Dienste wie Webserver-Loginformulare sch\u00fctzt. Mehr Hintergrund zu sicheren Passw\u00f6rtern und Hashing lesen Sie in unserem Leitfaden zur Passwortsicherheit<\/a>.<\/p>\n\n\n\n

Begriff<\/th>Bedeutung<\/th>Beispiel<\/th><\/tr><\/thead>
Filter<\/td>Regul\u00e4rer Ausdruck, der eine verd\u00e4chtige Logzeile erkennt<\/td>filter.d\/sshd.conf<\/td><\/tr>
Jail<\/td>Verkn\u00fcpfung aus Filter, Logquelle und Aktion<\/td>[sshd]<\/td><\/tr>
Action<\/td>Was bei einer Sperre passiert (Firewall, E-Mail)<\/td>nftables-multiport<\/td><\/tr>
maxretry<\/td>Erlaubte Fehlversuche vor der Sperre<\/td>5<\/td><\/tr>
findtime<\/td>Beobachtungsfenster f\u00fcr die Fehlversuche<\/td>10m<\/td><\/tr>
bantime<\/td>Dauer der Sperre<\/td>1h<\/td><\/tr>
recidive<\/td>Spezial-Jail f\u00fcr Wiederholungst\u00e4ter<\/td>1 Woche<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Voraussetzungen: Diese Versionen und Zug\u00e4nge brauchen Sie<\/h2>\n\n\n\n

Bevor Sie loslegen, stellen Sie sicher, dass die folgenden Komponenten bereitstehen. Die Anleitung ist auf Debian- und Ubuntu-Systeme zugeschnitten, funktioniert aber mit minimalen Anpassungen auch unter Fedora, Rocky Linux oder Arch Linux. Wichtig ist vor allem, dass Sie Root-Rechte besitzen und einen zweiten Zugang zum Server haben, falls Sie sich versehentlich selbst aussperren.<\/p>\n\n\n\n

Komponente<\/th>Empfohlene Version<\/th>Zweck<\/th><\/tr><\/thead>
Linux-Server<\/td>Debian 12 oder Ubuntu 24.04 LTS<\/td>Zielsystem<\/td><\/tr>
Fail2ban<\/td>1.1.0 (oder Distro-Paket 1.0.2)<\/td>Brute-Force-Schutz<\/td><\/tr>
Python<\/td>3.9 oder neuer<\/td>Laufzeitumgebung<\/td><\/tr>
systemd<\/td>252+ (Journal als Logquelle)<\/td>Log-Backend<\/td><\/tr>
nftables<\/td>1.0+ (Standard ab Debian 12)<\/td>Firewall-Backend<\/td><\/tr>
OpenSSH-Server<\/td>9.x<\/td>Zu sch\u00fctzender Dienst<\/td><\/tr>
Root-Zugang<\/td>sudo oder root<\/td>Installation und Konfiguration<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Pr\u00fcfen Sie zuerst, welche Distribution und welcher Kernel laufen. Das stellt sicher, dass die nachfolgenden Pfade und Befehle zu Ihrem System passen.<\/p>\n\n\n\n

# Distribution und Version anzeigen\ncat \/etc\/os-release | grep PRETTY_NAME\n# Beispielausgabe:\n# PRETTY_NAME=\"Debian GNU\/Linux 12 (bookworm)\"\n\n# Pruefen, ob systemd das Journal bereitstellt\nsystemctl --version | head -n 1\n# systemd 252 (252.30-1~deb12u2)\n\n# Aktiven SSH-Dienst kontrollieren\nsystemctl is-active ssh\n# active<\/code><\/pre>\n\n\n\n
Ein zweiter, paralleler SSH-Zugang ist die wichtigste Versicherung dieser Anleitung. \u00d6ffnen Sie ein zweites Terminalfenster und melden Sie sich erneut am Server an, bevor Sie Sperrregeln aktivieren. So bleiben Sie handlungsf\u00e4hig, falls eine Fehlkonfiguration Ihre eigene IP-Adresse aussperrt.<\/p>\n\n\n\n
Schritt 1: Fail2ban installieren<\/h2>\n\n\n\n
Fail2ban liegt in den Standard-Paketquellen aller gro\u00dfen Distributionen. Unter Debian und Ubuntu installieren Sie es mit einem einzigen apt-Befehl. Aktualisieren Sie zuerst die Paketlisten, damit Sie die neueste verf\u00fcgbare Version erhalten.<\/p>\n\n\n\n
# Debian \/ Ubuntu\nsudo apt update\nsudo apt install -y fail2ban\n\n# Fedora \/ Rocky \/ AlmaLinux\nsudo dnf install -y fail2ban\n\n# Arch Linux\nsudo pacman -S fail2ban\n\n# Installierte Version pruefen\nfail2ban-client --version\n# Fail2Ban v1.1.0<\/code><\/pre>\n\n\n\n
Die installierte Version h\u00e4ngt von Ihrer Distribution ab. Debian 12 liefert je nach Aktualisierungsstand 1.0.2 oder \u00fcber die Backports 1.1.0 aus, Ubuntu 24.04 ebenfalls die 1.0.2-Reihe. F\u00fcr diese Anleitung spielt der genaue Unterschied keine Rolle, da alle gezeigten Optionen ab Version 0.11 unterst\u00fctzt werden. Wenn Sie unbedingt die allerneueste Version brauchen, finden Sie die offiziellen Releases auf der GitHub-Releaseseite des Projekts<\/a>.<\/p>\n\n\n\n
Schritt 2: Den Dienst starten und den Status pr\u00fcfen<\/h2>\n\n\n\n
Auf Debian und Ubuntu startet und aktiviert der Paketmanager Fail2ban meist automatisch. Stellen Sie sicher, dass der Dienst l\u00e4uft und beim Systemstart geladen wird. Das Kommando enable --now<\/code> erledigt beides in einem Schritt.<\/p>\n\n\n\n
# Dienst starten und fuer den Bootvorgang aktivieren\nsudo systemctl enable --now fail2ban\n\n# Laufstatus kontrollieren\nsudo systemctl status fail2ban --no-pager\n# fail2ban.service - Fail2Ban Service\n#      Loaded: loaded (\/lib\/systemd\/system\/fail2ban.service; enabled)\n#      Active: active (running) since Thu 2026-06-11 09:14:02 CEST\n\n# Server-Status ueber den Client abfragen\nsudo fail2ban-client status\n# Status\n# |- Number of jail:      1\n# `- Jail list:           sshd<\/code><\/pre>\n\n\n\n
Standardm\u00e4\u00dfig ist auf vielen Systemen bereits das sshd-Jail aktiv, weil Debian eine Datei \/etc\/fail2ban\/jail.d\/defaults-debian.conf<\/code> mitliefert. Lassen Sie sich davon nicht verwirren. In den folgenden Schritten \u00fcberschreiben wir diese Vorgaben mit einer sauberen, eigenen Konfiguration, die Sie vollst\u00e4ndig kontrollieren.<\/p>\n\n\n\n
Schritt 3: Eine eigene jail.local statt jail.conf anlegen<\/h2>\n\n\n\n
Die zentrale Konfigurationsdatei \/etc\/fail2ban\/jail.conf<\/code> wird bei jedem Paket-Update \u00fcberschrieben. Wer hier \u00c4nderungen eintr\u00e4gt, verliert sie beim n\u00e4chsten Upgrade. Die richtige Vorgehensweise ist deshalb eine Datei jail.local<\/code>, die Vorrang vor jail.conf hat und bei Updates unangetastet bleibt. Fail2ban liest beide Dateien und l\u00e4sst die lokalen Einstellungen gewinnen.<\/p>\n\n\n\n
# Niemals direkt jail.conf bearbeiten. Stattdessen eine eigene Datei anlegen:\nsudo nano \/etc\/fail2ban\/jail.local\n\n# Die Verzeichnisstruktur im Ueberblick:\n# \/etc\/fail2ban\/jail.conf      <- Vorlage, nicht bearbeiten\n# \/etc\/fail2ban\/jail.local     <- Ihre Einstellungen (Vorrang)\n# \/etc\/fail2ban\/jail.d\/        <- Distro-Ergaenzungen\n# \/etc\/fail2ban\/filter.d\/      <- Filter (Regex-Muster)\n# \/etc\/fail2ban\/action.d\/      <- Aktionen (Firewall, Mail)<\/code><\/pre>\n\n\n\n
Diese Trennung zwischen Vorlage und lokaler Konfiguration ist das wichtigste Muster im Umgang mit Fail2ban. Sie gilt nicht nur f\u00fcr Jails, sondern auch f\u00fcr Filter und Aktionen: Eigene Filter legen Sie in filter.d<\/code> mit einem neuen Namen ab, eigene Aktionen analog in action.d<\/code>. Eine vollst\u00e4ndige Referenz aller Parameter findet sich in der offiziellen jail.conf-Manpage von Debian<\/a>.<\/p>\n\n\n\n
Schritt 4: Globale Grundeinstellungen festlegen<\/h2>\n\n\n\n
Im Abschnitt [DEFAULT]<\/code> Ihrer jail.local setzen Sie die Werte, die f\u00fcr alle Jails gelten, solange ein Jail sie nicht \u00fcberschreibt. Tragen Sie hier zuerst die Grundparameter und Ihre eigene IP-Adresse als Ausnahme ein. Die ignoreip<\/code>-Liste sch\u00fctzt Sie davor, sich selbst auszusperren, und sollte Ihre Heim- oder B\u00fcro-IP sowie das lokale Netz enthalten.<\/p>\n\n\n\n
[DEFAULT]\n# Eigene und vertrauenswuerdige IPs niemals sperren\nignoreip = 127.0.0.1\/8 ::1 192.168.0.0\/16 203.0.113.7\n\n# Sperrdauer: 1 Stunde\nbantime  = 1h\n\n# Beobachtungsfenster: 10 Minuten\nfindtime = 10m\n\n# Erlaubte Fehlversuche\nmaxretry = 5\n\n# Logquelle: systemd-Journal\nbackend  = systemd\n\n# Firewall-Aktion (modernes Debian\/Ubuntu)\nbanaction = nftables-multiport<\/code><\/pre>\n\n\n\n
Ersetzen Sie 203.0.113.7<\/code> durch Ihre tats\u00e4chliche \u00f6ffentliche IP-Adresse. Diese ermitteln Sie an Ihrem eigenen Rechner mit curl ifconfig.me<\/code>. Wenn Sie eine dynamische IP von Ihrem \u00f6sterreichischen Provider beziehen, tragen Sie stattdessen das lokale Netz ein und verlassen sich auf einen zweiten Zugangsweg, etwa die KVM-Konsole Ihres Hosters. Setzen Sie ignoreip<\/code> nie zu gro\u00dfz\u00fcgig, denn jede dort gelistete Adresse umgeht den kompletten Schutz.<\/p>\n\n\n\n
Schritt 5: Das sshd-Jail aktivieren<\/h2>\n\n\n\n
Jetzt aktivieren Sie den eigentlichen Schutz f\u00fcr SSH. H\u00e4ngen Sie den folgenden Abschnitt an Ihre jail.local an. Mit enabled = true<\/code> schalten Sie das Jail scharf, port = ssh<\/code> bezieht sich auf den Standardport 22. Falls Sie SSH auf einen anderen Port verlegt haben, tragen Sie hier die konkrete Portnummer ein.<\/p>\n\n\n\n
[sshd]\nenabled  = true\nport     = ssh\nfilter   = sshd\nbackend  = systemd\nmaxretry = 4\nfindtime = 10m\nbantime  = 1h<\/code><\/pre>\n\n\n\n
Die Werte im Jail \u00fcberschreiben die globalen Vorgaben aus [DEFAULT]<\/code>. Hier setzen wir maxretry bewusst auf 4, weil SSH-Logins selten versehentlich viermal scheitern. Wer einen exponierten Server in einem Rechenzentrum betreibt, kann maxretry sogar auf 3 senken. Achten Sie darauf, dass backend = systemd<\/code> gesetzt ist, wenn Ihr System Logs ausschlie\u00dflich im Journal f\u00fchrt und keine klassische \/var\/log\/auth.log<\/code> mehr schreibt. Das ist bei aktuellen Ubuntu- und Debian-Installationen zunehmend der Fall.<\/p>\n\n\n\n
Schritt 6: Das richtige Log-Backend w\u00e4hlen<\/h2>\n\n\n\n
Fail2ban kann seine Informationen aus zwei Quellen beziehen: aus klassischen Logdateien wie \/var\/log\/auth.log<\/code> oder direkt aus dem systemd-Journal. Auf modernen Systemen ist das Journal die zuverl\u00e4ssigere Wahl, weil viele Distributionen das Schreiben in separate Logdateien standardm\u00e4\u00dfig abgeschaltet haben. Steht das Backend falsch, findet Fail2ban keine Eintr\u00e4ge und sperrt niemanden, obwohl der Dienst scheinbar l\u00e4uft.<\/p>\n\n\n\n
# Pruefen, ob das Journal SSH-Ereignisse enthaelt\njournalctl -u ssh --since \"10 min ago\" | grep -i \"failed password\"\n\n# Falls die klassische Logdatei existiert, ist auch dieses Backend moeglich:\nls -l \/var\/log\/auth.log\n\n# Im Jail dann entweder:\n#   backend = systemd\n# oder, bei vorhandener Datei:\n#   backend = auto\n#   logpath = \/var\/log\/auth.log<\/code><\/pre>\n\n\n\n
Im Zweifel ist backend = systemd<\/code> die robusteste Einstellung f\u00fcr Debian 12 und Ubuntu 24.04. Sie funktioniert unabh\u00e4ngig davon, ob klassische Logdateien existieren, und kommt mit der Log-Rotation ohne zus\u00e4tzliche Konfiguration zurecht. Genau deshalb haben wir sie schon in Schritt 4 und 5 gesetzt.<\/p>\n\n\n\n
Schritt 7: Konfiguration testen und neu laden<\/h2>\n\n\n\n
Bevor Sie die neue Konfiguration aktivieren, pr\u00fcfen Sie sie auf Syntaxfehler. Fail2ban bringt daf\u00fcr einen Testmodus mit, der die Filter gegen Beispieldaten laufen l\u00e4sst, ohne den Dienst zu st\u00f6ren. Erst wenn der Test sauber durchl\u00e4uft, laden Sie die Konfiguration neu.<\/p>\n\n\n\n
# Gesamte Konfiguration auf Fehler pruefen\nsudo fail2ban-client -t\n# OK: configuration test is successful\n\n# Den sshd-Filter gegen das Journal testen\nsudo fail2ban-regex systemd-journal \/etc\/fail2ban\/filter.d\/sshd.conf\n# Beispielausgabe:\n# Running tests\n# ...\n# Lines: 1430 lines, 0 ignored, 58 matched, 1372 missed\n\n# Konfiguration ohne Neustart neu einlesen\nsudo fail2ban-client reload<\/code><\/pre>\n\n\n\n
Der Befehl fail2ban-client reload<\/code> ist dem harten systemctl restart<\/code> vorzuziehen, weil er bestehende Sperren erh\u00e4lt und keine L\u00fccke \u00f6ffnet. Schl\u00e4gt der Test mit einer Fehlermeldung fehl, korrigieren Sie die genannte Zeile in jail.local und wiederholen Sie den Test. Aktivieren Sie nie eine ungetestete Konfiguration auf einem Produktivsystem, vor allem nicht, wenn Sie nur per SSH Zugang haben.<\/p>\n\n\n\n
Schritt 8: Sperren pr\u00fcfen mit fail2ban-client<\/h2>\n\n\n\n
Sobald Fail2ban l\u00e4uft, ist fail2ban-client<\/code> Ihr wichtigstes Werkzeug zur \u00dcberwachung. Mit dem Status-Kommando sehen Sie, wie viele IP-Adressen aktuell gesperrt sind und wie viele Fehlversuche insgesamt registriert wurden. Auf einem \u00f6ffentlich erreichbaren Server f\u00fcllt sich diese Liste oft schon nach wenigen Minuten.<\/p>\n\n\n\n
# Detailstatus des sshd-Jails\nsudo fail2ban-client status sshd\n# Status for the jail: sshd\n# |- Filter\n# |  |- Currently failed: 3\n# |  |- Total failed:     1847\n# |  `- File list:        systemd-journal\n# `- Actions\n#    |- Currently banned: 12\n#    |- Total banned:     143\n#    `- Banned IP list:   45.143.200.18 193.32.162.7 218.92.0.34<\/code><\/pre>\n\n\n\n
Die Zeile Total banned<\/code> zeigt eindrucksvoll, wie viel Datenverkehr ein einzelner Server abwehrt. Werte im Hunderter- oder Tausenderbereich pro Woche sind f\u00fcr eine exponierte IP v\u00f6llig normal und kein Grund zur Sorge, sondern der Beweis, dass Fail2ban arbeitet. Wie sich diese Bedrohungslage in \u00d6sterreich entwickelt, ordnen wir in unserer Analyse zur Cyberkriminalit\u00e4t in \u00d6sterreich<\/a> ein.<\/p>\n\n\n\n
Schritt 9: IP-Adressen entsperren<\/h2>\n\n\n\n
Fr\u00fcher oder sp\u00e4ter sperrt Fail2ban eine IP, die Sie eigentlich durchlassen wollten, etwa weil ein Kollege sein Passwort zu oft falsch eingegeben hat. Das manuelle Entsperren ist mit einem einzigen Befehl erledigt. Sie k\u00f6nnen eine Adresse aus einem bestimmten Jail oder global aus allen Jails entfernen.<\/p>\n\n\n\n
# Eine IP aus dem sshd-Jail entsperren\nsudo fail2ban-client set sshd unbanip 203.0.113.42\n\n# Dieselbe IP aus allen Jails entsperren (ab Version 0.11)\nsudo fail2ban-client unban 203.0.113.42\n\n# Alle Sperren eines Jails auf einen Schlag aufheben\nsudo fail2ban-client set sshd unban --all\n\n# Eine IP sofort manuell sperren\nsudo fail2ban-client set sshd banip 198.51.100.23<\/code><\/pre>\n\n\n\n
Wollen Sie verhindern, dass eine bestimmte Adresse jemals gesperrt wird, geh\u00f6rt sie in die ignoreip<\/code>-Liste aus Schritt 4 und nicht in ein wiederholtes manuelles Entsperren. Der banip<\/code>-Befehl ist n\u00fctzlich, wenn Sie eine bekannte Angreifer-IP aus einem anderen Report sofort blockieren m\u00f6chten, ohne auf die n\u00e4chsten Fehlversuche zu warten.<\/p>\n\n\n\n
Schritt 10: Ban-Eskalation mit dem recidive-Jail<\/h2>\n\n\n\n
Hartn\u00e4ckige Angreifer kommen nach Ablauf der Sperre einfach wieder. Hier setzt das recidive<\/code>-Jail an: Es \u00fcberwacht das Fail2ban-eigene Log und sperrt IP-Adressen, die bereits mehrfach gesperrt wurden, f\u00fcr eine deutlich l\u00e4ngere Zeit. So eskalieren Sie von einer Stunde auf eine Woche oder l\u00e4nger, ohne legitime Nutzer dauerhaft auszusperren.<\/p>\n\n\n\n
[recidive]\nenabled   = true\nlogpath   = \/var\/log\/fail2ban.log\nbanaction = nftables-allports\n# Wer 5 Sperren in 1 Tag kassiert ...\nfindtime  = 1d\nmaxretry  = 5\n# ... wird 1 Woche gesperrt\nbantime   = 1w<\/code><\/pre>\n\n\n\n
Eine elegante Alternative oder Erg\u00e4nzung ist die automatische Ban-Eskalation \u00fcber bantime.increment<\/code>. Aktiviert verl\u00e4ngert Fail2ban die Sperrdauer bei jedem R\u00fcckfall automatisch, etwa mit dem Faktor 2. Tragen Sie dazu im [DEFAULT]<\/code>-Abschnitt bantime.increment = true<\/code> und bantime.factor = 2<\/code> ein. Beim zweiten Versto\u00df wird aus einer Stunde dann zwei, beim dritten vier und so weiter. Diese Funktion macht das recidive-Jail in vielen F\u00e4llen \u00fcberfl\u00fcssig.<\/p>\n\n\n\n
Schritt 11: Weitere Dienste wie Nginx und Postfix sch\u00fctzen<\/h2>\n\n\n\n
Fail2ban sch\u00fctzt l\u00e4ngst nicht nur SSH. Jeder Dienst, der Fehlversuche protokolliert, l\u00e4sst sich absichern. Besonders verbreitet sind Jails f\u00fcr Webserver-Logins (etwa HTTP-Basic-Auth hinter Nginx) und f\u00fcr Mailserver wie Postfix oder Dovecot. Die passenden Filter liegen bereits in filter.d<\/code>, Sie m\u00fcssen sie nur \u00fcber ein Jail aktivieren.<\/p>\n\n\n\n
# Schutz fuer HTTP-Basic-Auth hinter Nginx\n[nginx-http-auth]\nenabled  = true\nport     = http,https\nfilter   = nginx-http-auth\nlogpath  = \/var\/log\/nginx\/error.log\nmaxretry = 5\n\n# Schutz gegen Bot-Anfragen auf nicht existente URLs\n[nginx-botsearch]\nenabled  = true\nport     = http,https\nfilter   = nginx-botsearch\nlogpath  = \/var\/log\/nginx\/access.log\nmaxretry = 2\n\n# Schutz fuer den Postfix-Mailserver\n[postfix]\nenabled  = true\nport     = smtp,submission\nfilter   = postfix\nbackend  = systemd\nmaxretry = 5<\/code><\/pre>\n\n\n\n
Wenn Sie einen Webserver mit TLS betreiben, geh\u00f6rt der Brute-Force-Schutz zur Grundausstattung, erg\u00e4nzt aber nie eine saubere Verschl\u00fcsselung. Wie HTTPS und TLS technisch funktionieren und warum das Schloss im Browser nur die halbe Miete ist, erkl\u00e4ren wir im Beitrag HTTPS und TLS<\/a>. F\u00fcr jeden neuen Dienst gilt: Erst den passenden Filter mit fail2ban-regex<\/code> gegen echte Logs testen, dann das Jail aktivieren.<\/p>\n\n\n\n
Schritt 12: E-Mail-Benachrichtigungen einrichten<\/h2>\n\n\n\n
Im letzten Schritt lassen Sie sich bei jeder Sperre per E-Mail informieren. Das ist optional, aber hilfreich, um die Bedrohungslage im Blick zu behalten. Voraussetzung ist ein funktionierender Mail-Versand auf dem Server, etwa \u00fcber msmtp<\/code> oder ein lokales Postfix. Aktivieren Sie dann die Aktion, die Sperre und Benachrichtigung kombiniert.<\/p>\n\n\n\n
# Im [DEFAULT]-Abschnitt der jail.local ergaenzen:\ndestemail = admin@example.at\nsender    = fail2ban@example.at\nmta       = sendmail\n\n# Aktion: sperren UND eine kurze Info-Mail senden\naction = %(action_mw)s\n\n# Variante mit Logauszug der verdaechtigen Zeilen:\n# action = %(action_mwl)s<\/code><\/pre>\n\n\n\n
Die Aktion action_mw<\/code> sendet eine kurze Mail mit Whois-Informationen zur gesperrten IP, action_mwl<\/code> h\u00e4ngt zus\u00e4tzlich die passenden Logzeilen an. \u00dcbertreiben Sie es nicht: Auf stark frequentierten Servern kann das hunderte Mails pro Tag bedeuten. In der Praxis gen\u00fcgt es oft, nur das recidive-Jail mit Mailversand zu konfigurieren, damit Sie ausschlie\u00dflich \u00fcber hartn\u00e4ckige Wiederholungst\u00e4ter informiert werden.<\/p>\n\n\n\n
H\u00e4ufige Fehler und wie Sie sie vermeiden<\/h2>\n\n\n\n
Die meisten Probleme mit Fail2ban entstehen nicht durch die Software, sondern durch typische Konfigurationsfehler. Diese f\u00fcnf Stolpersteine sehen wir in der Praxis am h\u00e4ufigsten.<\/p>\n\n\n\n