sharbich
Goto Top

Fail2Ban auf einen anderen Linux Host ausführen

Hallo Ihr Lieben,

ich möchte mein Linux Server mit fail2ban absichern. Mein Server steht hinter einen OpenWRT Router. Auf diesen laufen die Firewall Regeln. Wenn ich auf mein Linux Server fail2ban installieren, ist es dann möglich auf einen anderen Linux Host (z.B. mein Linux Router) Anpassungen automatisiert am Regelwerk vornehmen zu lassen?

So wie ich das gelesen habe geht das nur auf den Host wo fail2ban installiert ist? Stimmt das so?

Gruß von Stefan Harbich

Content-ID: 7904527593

Url: https://administrator.de/contentid/7904527593

Ausgedruckt am: 31.10.2024 um 12:10 Uhr

Lochkartenstanzer
Lochkartenstanzer 20.07.2023 um 09:20:38 Uhr
Goto Top
Moin,

Du kannst Dir natürlich Scripte schreiben, die die fail2ban-regeln automatisiert auf deinen anderen Host kopieren. Aber was soll der Sinn dahinter sein?

lks
sharbich
sharbich 20.07.2023 um 09:33:01 Uhr
Goto Top
Hallo,

ein Regelwerk auf den zentralen Host über dem die ganze Kommunikation läuft.

Etwas genauer beschrieben.

Ich habe einen zentralen OpenWRT Router über dem der Datenverkehr läuft. Hier liegen alle Regeln. Dahinter laufen verschiedene Linux Host's.

Jetzt gibt es zwei Möglichkeiten:

1. Installation Fail2Ban auf den OpenWRT Router und einen Weg finden das ich auf die Log's der anderen Linux Host's zugreifen kann um direkt auf dem zentralen Router das Regelwerk anpassen zu können.

2. Installation von Fail2Ban auf jeden Linux Host und per Skripte dann das Regelwerk auf den zentralen OpenWRT Router anzupassen.

Was würdet Ihr bevorzugen? Oder gäbe es noch eine Alternative?

Gruß von Stefan Harbich
Spirit-of-Eli
Spirit-of-Eli 20.07.2023 um 10:14:43 Uhr
Goto Top
Moin,

was für Regeln stellt du dir denn bei Fail2Ban vor?
Da steht ja nur drin auf welche Marke der Mechanismus reagieren soll. Das ganze passiert ja auch auf Basis der lokalen Log Files.

Gruß
Spirit
commodity
commodity 20.07.2023 um 11:41:42 Uhr
Goto Top
Wenn Du auf dem OpenWRT scripten kannst, kannst Du ja auch das fail2ban-Logfile (oder eben dessen Log-Sources (wie Kollege @Spirit-of-Eli vorschlägt) auswerten lassen und darauf basierend Regeln erstellen.
Oder andersrum, vom Server aus, wenn Du ein API für den OpenWRT hast.
Was würdet Ihr bevorzugen? Oder gäbe es noch eine Alternative?
Nichts machen. face-smile
Deine Server sind durch fail2ban geschützt. Dein Router schützt den Rest. Es bringt keinen realen Nutzen, die von fail2ban festgestellten bösen Buben auch vom Router fern zu halten.

Viele Grüße, commodity
Crusher79
Crusher79 20.07.2023 um 11:59:35 Uhr
Goto Top
Hallo,

ist doch schon alles irgendwie da: https://www.saas-secure.com/online-services/fail2ban-ip-sharing.html

OpenWRT ka. OPNsense hat API - da würde sowas vermutlich so schon einfacher gehen.

https://github.com/bwdezend/badtraffic


Also wenn man mal so schaut, findet man einige Ansätze. Bei Firewall wäre eine API wie gesagt ganz nett. Wie bei OPNsense.

Hat man keine, könnten man probieren die Quelle, die die Apps mit Daten füttern zu ersetzen. Dass dann deine einge Quelle mit den IPs hier genutzt wird. Auch in Kombination mit den originalen Listen. Für Proxy kann man auch Filterregeln laden. Ohne API wäre das je nach System auch noch eine Möglichkeit.

mfg Crusher
Epixc0re
Epixc0re 21.07.2023 um 09:31:58 Uhr
Goto Top
Hallo,

ja, das geht relativ einfach - wir verwenden hierzu einen Message Broker (active mq, ..) und dann ein Script pro Host.

Loggt einer der Hosts eine IP, wird diese in den Message Broker geschrieben und alle anderen Hosts, wo dann natürlich ein Client laufen muss, blockiert die IP auch sofort.

Hab mir dafür dann noch eine Anbindung für Mikrotik (zentrale Firewall) gebaut und egal welches System (extern oder bei anderen Hostern) angegriffen wird, mein Mikrotik bekommt das auch mit.

LG Stefan