Plesk Documentation and Help Portal

Administratorhandbuch

Verwalten der Fail2Ban-Jails

Nutzer mit erweiterten Kenntnissen könnten auch daran interessiert sein, die Art und Weise, wie die sogenannten Fail2Ban-Jails zum Sperren von IP-Adressen genutzt werden, zu konfigurieren. Eine Fail2Ban-Jail ist eine Kombination aus einem Filter und einer oder mehreren Aktionen. Der Filter definiert einen regulären Ausdruck entsprechend einem Muster, das mit einem fehlgeschlagenen Anmeldeversuch oder einer anderen verdächtigen Aktivität übereinstimmt. Die Aktionen definieren Befehle, die ausgeführt werden, wenn der Filter eine missbräuchliche IP-Adresse aufdeckt.

In Plesk gibt es vorkonfigurierte Jails für alle Hosting-Services (Webserver, Mailserver, FTP-Server). Die meisten arbeiten auf die gleiche Weise: Sie erkennen fehlgeschlagene Anmeldeversuche und blockieren den Zugriff auf den Service für zehn Minuten. Diese Jails erfordern eine gesonderte Erklärung:

  • plesk-apache-badbot sucht in den Zugriffsprotokolldateien von Apache nach E-Mail-Grabbern und Vulnerability Scannern. Die Sperre dauert zwei Tage an.
  • plesk-horde und plesk-roundcube erkennen fehlgeschlagene Webmail-Anmeldeversuche und blockieren den Zugriff auf einen Webservice für 10 Minuten.
  • recidive sucht im eigenen Protokoll von Fail2Ban nach den Sperren anderer Jails. Es blockiert Hosts, die fünf Mal in den letzten 10 Minuten von anderen Jails eine Sperren erhalten haben. Die Sperre dauert eine Woche an und gilt für alle Services auf dem Server.
  • plesk-modsecurity sperrt die IP-Adressen, die von der ModSecurity Web Application Firewall als gefährlich eingestuft wurden. Die Jail kann nur aktiviert werden, wenn ModSecurity bereits ausgeführt wird und sperrt Angreifer auch dann, wenn ModSecurity im Modus "Nur Erkennung" betrieben wird. Die Sperre dauert 10 Minuten.

Vorkonfigurierte Jails für nicht installierte Plesk Komponenten werden nicht in der Liste angezeigt. Wenn z. B. RoundCube Webmail nicht installiert ist, wird auch nicht die Jail plesk-roundcube in der Liste der verfügbaren Jails angezeigt.

Um Ihre Services vor spezifischen Bedrohungen zu schützen sowie Drittanbieterservices, die nicht zur Ausstattung von Plesk gehören, zu schützen, wollen Sie vielleicht Ihre eigenen Jails einrichten, sie ein- und ausschalten, ihre Einstellungen aktualisieren und Filter hinzufügen, die von den Jails verwendet werden können.

Hinweis: Jails, die bereits von vornherein zu Plesk gehören, können nicht entfernt werden. Sie können sie nur deaktivieren. Jedoch können Sie Jails entfernen, die Sie selbst hinzugefügt haben.

In Plesk werden nur die Jails für die installierten Plesk Komponenten angezeigt. Das heißt, wenn zum Beispiel der qmail-Mailserver nicht installiert ist, ist auch die qmail-Jail nicht sichtbar.

Wenn Sie versuchen, mithilfe der Operation Einschalten für eine ganze Gruppe mehrere Jails auf einmal einzuschalten und nur eine Jail nicht startet, dann werden auch alle anderen Jails nicht gestartet. In diesem Fall müssen Sie die Jails nacheinander einschalten.

So richten Sie eine neue Jail ein:

  1. Gehen Sie zu Tools & Einstellungen > Sperren von IP-Adressen (Fail2Ban) > Jails > Jail hinzufügen.
  2. Geben Sie die Einstellungen für die Jail an.

    Sie können folgende bereits in Plesk eingerichtete Filter verwenden:

    • apache-auth für fehlgeschlagene Apache-Autorisierungsversuche
    • apache-badbots für Spambots und bösartige Webcrawler
    • courierlogin für fehlgeschlagene Courier IMAP- und POP3-Authentifizierungen
    • dovecot für fehlgeschlagene Dovecot IMAP-, POP3- und Sieve-Authentifizierungen
    • plesk-horde für fehlgeschlagene Horde-Webmail-Authentifizierungen
    • plesk-panel, für fehlgeschlagene Plesk Authentifizierungen
    • plesk-qmail für fehlgeschlagene qmail-SMTP-Authentifizierungen
    • plesk-roundcube für fehlgeschlagene Roundcube-Webmail-Authentifizierungen
    • postfix-sasl für fehlgeschlagene Postfix-SMTP- und SASL-Authentifizierungen
    • proftpd für fehlgeschlagene ProFTPD-Anmeldeversuche
    • recidive für Hosts, die wiederholt von Fail2Ban gesperrt wurden
    • sshd für fehlgeschlagene SSH-Anmeldeversuche

    Sie können folgende bereits in Plesk eingerichtete Aktionen verwenden:

    • iptables zum Sperren von IP-Adressen via iptables-Firewall, auf einem einzigen Port
    • iptables-allports zum Sperren von IP-Adressen via iptables-Firewall, auf allen Ports
    • iptables-multiport zum Sperren von IP-Adressen via iptables-Firewall, auf mehreren Ports
    • sendmail zum Senden einer E-Mail-Benachrichtigung via Sendmail

So fügen Sie einen Filter hinzu, der von einer Jail genutzt werden kann:

  1. Gehen Sie zu Tools & Einstellungen > Sperren von IP-Adressen (Fail2Ban) > Jails > Filter verwalten > Filter hinzufügen.
  2. Geben Sie den Namen des Filters und den regulären Ausdruck an, der für den Abgleich der Zeilen der Protokolldateien verwendet werden soll. Einzelheiten zu Fail2Ban-Filtern finden Sie in der technischen Dokumentation von Fail2Ban unter http://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Filters. Da Fail2Ban eine Python-Anwendung ist, können Sie Einzelheiten zu Python-spezifischen regulären Ausdrücken in der Python Dokumentation unter https://docs.python.org/2/library/re.html nachlesen.
  • Industry
    Partners:
COMPANY
PRODUCT
KNOWLEDGE BASE
PROGRAMS
COMMUNITY
© 2024 WebPros International GmbH. All rights reserved. Plesk and the Plesk logo are trademarks of WebPros International GmbH.