6
Fail2Ban auf einen anderen Linux Host ausführen
Hallo Ihr Lieben,
ich möchte mein Linux Server mit fail2ban absichern. Mein Server steht hinter einen OpenWRT Router. Auf diesen laufen die Firewall Regeln. Wenn ich auf mein Linux Server fail2ban installieren, ist es dann möglich auf einen anderen Linux Host (z.B. mein Linux Router) Anpassungen automatisiert am Regelwerk vornehmen zu lassen?
So wie ich das gelesen habe geht das nur auf den Host wo fail2ban installiert ist? Stimmt das so?
Gruß von Stefan Harbich
ich möchte mein Linux Server mit fail2ban absichern. Mein Server steht hinter einen OpenWRT Router. Auf diesen laufen die Firewall Regeln. Wenn ich auf mein Linux Server fail2ban installieren, ist es dann möglich auf einen anderen Linux Host (z.B. mein Linux Router) Anpassungen automatisiert am Regelwerk vornehmen zu lassen?
So wie ich das gelesen habe geht das nur auf den Host wo fail2ban installiert ist? Stimmt das so?
Gruß von Stefan Harbich
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7904527593
Url: https://administrator.de/contentid/7904527593
Ausgedruckt am: 26.11.2024 um 05:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Du kannst Dir natürlich Scripte schreiben, die die fail2ban-regeln automatisiert auf deinen anderen Host kopieren. Aber was soll der Sinn dahinter sein?
lks
Du kannst Dir natürlich Scripte schreiben, die die fail2ban-regeln automatisiert auf deinen anderen Host kopieren. Aber was soll der Sinn dahinter sein?
lks
Hallo,
ein Regelwerk auf den zentralen Host über dem die ganze Kommunikation läuft.
Etwas genauer beschrieben.
Ich habe einen zentralen OpenWRT Router über dem der Datenverkehr läuft. Hier liegen alle Regeln. Dahinter laufen verschiedene Linux Host's.
Jetzt gibt es zwei Möglichkeiten:
1. Installation Fail2Ban auf den OpenWRT Router und einen Weg finden das ich auf die Log's der anderen Linux Host's zugreifen kann um direkt auf dem zentralen Router das Regelwerk anpassen zu können.
2. Installation von Fail2Ban auf jeden Linux Host und per Skripte dann das Regelwerk auf den zentralen OpenWRT Router anzupassen.
Was würdet Ihr bevorzugen? Oder gäbe es noch eine Alternative?
Gruß von Stefan Harbich
ein Regelwerk auf den zentralen Host über dem die ganze Kommunikation läuft.
Etwas genauer beschrieben.
Ich habe einen zentralen OpenWRT Router über dem der Datenverkehr läuft. Hier liegen alle Regeln. Dahinter laufen verschiedene Linux Host's.
Jetzt gibt es zwei Möglichkeiten:
1. Installation Fail2Ban auf den OpenWRT Router und einen Weg finden das ich auf die Log's der anderen Linux Host's zugreifen kann um direkt auf dem zentralen Router das Regelwerk anpassen zu können.
2. Installation von Fail2Ban auf jeden Linux Host und per Skripte dann das Regelwerk auf den zentralen OpenWRT Router anzupassen.
Was würdet Ihr bevorzugen? Oder gäbe es noch eine Alternative?
Gruß von Stefan Harbich
Moin,
was für Regeln stellt du dir denn bei Fail2Ban vor?
Da steht ja nur drin auf welche Marke der Mechanismus reagieren soll. Das ganze passiert ja auch auf Basis der lokalen Log Files.
Gruß
Spirit
was für Regeln stellt du dir denn bei Fail2Ban vor?
Da steht ja nur drin auf welche Marke der Mechanismus reagieren soll. Das ganze passiert ja auch auf Basis der lokalen Log Files.
Gruß
Spirit
Wenn Du auf dem OpenWRT scripten kannst, kannst Du ja auch das fail2ban-Logfile (oder eben dessen Log-Sources (wie Kollege @Spirit-of-Eli vorschlägt) auswerten lassen und darauf basierend Regeln erstellen.
Oder andersrum, vom Server aus, wenn Du ein API für den OpenWRT hast.
Deine Server sind durch fail2ban geschützt. Dein Router schützt den Rest. Es bringt keinen realen Nutzen, die von fail2ban festgestellten bösen Buben auch vom Router fern zu halten.
Viele Grüße, commodity
Oder andersrum, vom Server aus, wenn Du ein API für den OpenWRT hast.
Was würdet Ihr bevorzugen? Oder gäbe es noch eine Alternative?
Nichts machen. Deine Server sind durch fail2ban geschützt. Dein Router schützt den Rest. Es bringt keinen realen Nutzen, die von fail2ban festgestellten bösen Buben auch vom Router fern zu halten.
Viele Grüße, commodity
Hallo,
ist doch schon alles irgendwie da: https://www.saas-secure.com/online-services/fail2ban-ip-sharing.html
OpenWRT ka. OPNsense hat API - da würde sowas vermutlich so schon einfacher gehen.
https://github.com/bwdezend/badtraffic
Also wenn man mal so schaut, findet man einige Ansätze. Bei Firewall wäre eine API wie gesagt ganz nett. Wie bei OPNsense.
Hat man keine, könnten man probieren die Quelle, die die Apps mit Daten füttern zu ersetzen. Dass dann deine einge Quelle mit den IPs hier genutzt wird. Auch in Kombination mit den originalen Listen. Für Proxy kann man auch Filterregeln laden. Ohne API wäre das je nach System auch noch eine Möglichkeit.
mfg Crusher
ist doch schon alles irgendwie da: https://www.saas-secure.com/online-services/fail2ban-ip-sharing.html
OpenWRT ka. OPNsense hat API - da würde sowas vermutlich so schon einfacher gehen.
https://github.com/bwdezend/badtraffic
Also wenn man mal so schaut, findet man einige Ansätze. Bei Firewall wäre eine API wie gesagt ganz nett. Wie bei OPNsense.
Hat man keine, könnten man probieren die Quelle, die die Apps mit Daten füttern zu ersetzen. Dass dann deine einge Quelle mit den IPs hier genutzt wird. Auch in Kombination mit den originalen Listen. Für Proxy kann man auch Filterregeln laden. Ohne API wäre das je nach System auch noch eine Möglichkeit.
mfg Crusher
Hallo,
ja, das geht relativ einfach - wir verwenden hierzu einen Message Broker (active mq, ..) und dann ein Script pro Host.
Loggt einer der Hosts eine IP, wird diese in den Message Broker geschrieben und alle anderen Hosts, wo dann natürlich ein Client laufen muss, blockiert die IP auch sofort.
Hab mir dafür dann noch eine Anbindung für Mikrotik (zentrale Firewall) gebaut und egal welches System (extern oder bei anderen Hostern) angegriffen wird, mein Mikrotik bekommt das auch mit.
LG Stefan
ja, das geht relativ einfach - wir verwenden hierzu einen Message Broker (active mq, ..) und dann ein Script pro Host.
Loggt einer der Hosts eine IP, wird diese in den Message Broker geschrieben und alle anderen Hosts, wo dann natürlich ein Client laufen muss, blockiert die IP auch sofort.
Hab mir dafür dann noch eine Anbindung für Mikrotik (zentrale Firewall) gebaut und egal welches System (extern oder bei anderen Hostern) angegriffen wird, mein Mikrotik bekommt das auch mit.
LG Stefan
1
