Plesk Dienste mit Fail2Ban schützen

Um das Plesk Panel sowie andere Plesk Dienste wie IMAP, POP3, SMTP und SSH vor Bruteforce Attacken zu schützen, installieren wir Fail2Ban und fügen passende Filter hinzu.

Fail2Ban ist ein Dienst der Logdateien anderer Dienste überprüft und z.B.fehlerhafte IMAP Logins erkennt und die Source IP-Adresse per iptables sperrt.

Punkt 1: Installation von Fail2Ban

Zuerst installieren wir das benötigte Paket.

Debian

CentOS

Punkt 2: Filter hinzufügen

Die Fail2Ban Filter werden im Ordner /etc/fail2ban/filter.d/ abgelegt, der Dateiname bestimmt den Filternamen in der später erklärten jail.conf.

Plesk Panel Port 8443

Courier IMAP/POP3

Postfix SMTP

ProFTPd

Punkt 3: Jail Konfiguration

Nun bearbeiten wir /etc/fail2ban/jail.conf und fügen unsere Filter am Ende der Datei hinzu. Das SSHd Logfile wird automatisch überwacht und ist nach der Installation auch gleich aktiv.

Wichtig: Passt bitte die bantime und dest=me@me.net euren Wünschen an.

Nun aktivieren wir die neuen Filter.

Blockierte IP-Adressen sehen wir im Logfile und in den iptables.

 

Dominion

Dominion

Linux Systemadministrator

Das könnte Dich auch interessieren …

6 Antworten

  1. Dennis sagt:

    Hallo,

    ich bekomme wegen des „ignoreregex =“ eine Fehlermeldung das es nicht definiert wäre. Fehlt da etwas code am ende?

    Gruß

    Dennis

    • Dominion Dominion sagt:

      In welchem Filter tritt das Problem auf? Welche Fehlermeldung wird ausgegeben?
      Die Zeile „ignoreregex=“ sollte per Default immer leer sein, da keine Ignore-Regeln definiert sind.

  2. voodoo sagt:

    Erstmal Danke, Schön beschrieben.

    Frage: Was muss anstatt „dest=me@me.net“ eingetragen werden.

    Gruß
    .Voodoo

  3. voodoo sagt:

    Hi
    Scheinbar läuft Fail2Ban nicht ganz so richtig.
    Ich habe mir das postfix-sasl-auth-tcp noch mit reingebaut

    [postfix-sasl-auth-tcp]
    enabled = true
    filter = postfix-sasl-auth
    action = iptables-multiport[name=PostfixSaslAuthTcp, port=“smtp,smtps,submission“, protocol=tcp]
    logpath = /var/log/mail.info

    Wenn ih mir die Log Datei ansehe steht immer sowas drin, was kann das sein?
    fail2ban.actions: WARNING [postfix-sasl-auth-tcp] Unban xxx.xxx.151.150
    fail2ban.actions.action: ERROR iptables -D fail2ban-PostfixSaslAuthTcp -s xxx.xxx.151.150 -j DROP returned 100

    Habt Ihr dafür auch eine Lösung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.