Überblick

Eine Fail2Ban-Jail ist eine Kombination aus einem Filter und einer oder mehreren Aktionen. Der Filter definiert einen regulären Ausdruck entsprechend einem Muster, das mit einem fehlgeschlagenen Anmeldeversuch oder einer anderen verdächtigen Aktivität übereinstimmt. Die Aktionen definieren Befehle, die ausgeführt werden, wenn der Filter eine missbräuchliche IP-Adresse aufdeckt.

Ein Jail kann einen aktiven oder nicht aktiven Status aufweisen. Wenn der Fail2Ban-Dienst ausgeführt wird, werden nur aktive Jails genutzt, um die Protokolldateien zu überwachen und verdächtige IP-Adressen zu sperren.

In Plesk, there are preconfigured jails for all hosting services (web server, mail server, FTP server, and so on). Most of them work in the same way: they detect failed login attempts and block access to the service for ten minutes. These jails are listed at the „Jails“ tab at Tools & Settings > IP Address Banning (Fail2Ban) (under „Security“).

Die folgenden vorkonfigurierten Jails sind verfügbar:

• plesk-apache sucht nach Fehlern bei der Apache Autorisierung und sperrt Angreifer für 10 Minuten.
• plesk-apache-badbot sucht in den Zugriffsprotokolldateien von Apache nach E-Mail-Grabbern und Vulnerability Scannern. Die Sperre dauert zwei Tage an.
• plesk-dovecot sucht nach Authentifizierungsfehlern bei Dovecot IMAP, POP3 und Sieve und sperrt Angreifer für 10 Minuten.
• plesk-horde und plesk-roundcube erkennen fehlgeschlagene Webmail-Anmeldeversuche und blockieren den Zugriff auf einen Webservice für 10 Minuten.
• plesk-modsecurity sperrt die IP-Adressen, die von der ModSecurity Web Application Firewall als gefährlich eingestuft wurden. Die Jail kann nur aktiviert werden, wenn ModSecurity bereits ausgeführt wird und sperrt Angreifer auch dann, wenn ModSecurity im Modus „Nur Erkennung“ betrieben wird. Die Sperre dauert 10 Minuten.
• plesk-panel erkennt Fehler bei der Anmeldung in Plesk und sperrt Angreifer für 10 Minuten.
• plesk-postfix sucht nach Authentifizierungsfehlern bei Postfix SMTP und SASL und sperrt Angreifer für 10 Minuten.
• plesk-proftpd sucht nach Fehlern bei der Anmeldung in ProFTPD und sperrt Angreifer für 10 Minuten.
• plesk-wordpress sucht nach Authentifizierungsfehlern in WordPress und sperrt Angreifer für 10 Minuten.
• recidive sucht im eigenen Protokoll von Fail2Ban nach den Sperren anderer Jails. Es blockiert Hosts, die 5 Mal in den letzten 10 Minuten von anderen Jails eine Sperre erhalten haben. Die Sperre dauert eine Woche und gilt für alle Dienste auf dem Server.
• ssh sucht nach Fehlern bei der SSH-Anmeldung und sperrt Angreifer für 10 Minuten.

Vorkonfigurierte Jails für nicht installierte Plesk Komponenten werden nicht in der Liste angezeigt. Wenn z. B. RoundCube Webmail nicht installiert ist, wird auch nicht die Jail plesk-roundcube in der Liste der verfügbaren Jails angezeigt.

Um Ihre Services vor spezifischen Bedrohungen zu schützen sowie Drittanbieterservices, die nicht zur Ausstattung von Plesk gehören, zu schützen, wollen Sie vielleicht Ihre eigenen Jails einrichten, sie ein- und ausschalten, ihre Einstellungen aktualisieren und Filter hinzufügen, die von den Jails verwendet werden können.

Aktivieren oder deaktivieren von Jail

So aktivieren Sie ein Jail:

1. Melden Sie sich in Plesk an.
2. Go to  Tools & Settings > IP Address Banning (Fail2Ban) (under „Security“), and then go to the „Jails“ tab.
3. Wählen Sie ein Jail aus und klicken Sie auf die Schaltfläche Aktivieren. Diese Schaltfläche ist nur verfügbar, wenn der Fail2Ban-Dienst ausgeführt wird (dazu muss das Kontrollkästchen Angriffserkennung aktivieren auf dem Tab Einstellungen ausgewählt sein).

So deaktivieren Sie ein Jail:

1. Melden Sie sich in Plesk an.
2. Go to  Tools & Settings > IP Address Banning (Fail2Ban) (under „Security“), and then go to the „Jails“ tab.
3. Wählen Sie ein Jail aus und klicken Sie auf die Schaltfläche Deaktivieren.

Konfigurieren der Jail-Einstellungen

So richten Sie eine neue Jail ein:

1. Melden Sie sich in Plesk an.

2. Go to  Tools & Settings > IP Address Banning (Fail2Ban) (under „Security“), and then go to the „Jails“ tab.

3. Klicken Sie auf Jail hinzufügen.

4. Geben Sie die Filter an.

   Sie können folgende bereits in Plesk eingerichtete Filter verwenden:

   • apache-auth für fehlgeschlagene Apache-Autorisierungsversuche
   • apache-badbots für Spambots und bösartige Webcrawler
   • plesk-courierlogin für fehlgeschlagene Courier IMAP- und POP3-Authentifizierungen
   • plesk-dovecot für fehlgeschlagene Dovecot IMAP-, POP3- und Sieve-Authentifizierungen
   • plesk-horde für fehlgeschlagene Horde-Webmail-Authentifizierungen
   • plesk-modsecurity für Angriffe auf Webanwendungen, die von der ModSecurity Web Application Firewall erkannt wurden
   • plesk-panel, für fehlgeschlagene Plesk Authentifizierungen
   • plesk-qmail für fehlgeschlagene qmail-SMTP-Authentifizierungen
   • plesk-roundcube für fehlgeschlagene Roundcube-Webmail-Authentifizierungen
   • plesk-wordpress, für fehlgeschlagene WordPress Authentifizierungen
   • postfix-sasl für fehlgeschlagene Postfix-SMTP- und SASL-Authentifizierungen
   • proftpd für fehlgeschlagene ProFTPD-Anmeldeversuche
   • recidive für Hosts, die wiederholt von Fail2Ban gesperrt wurden
   • sshd für fehlgeschlagene SSH-Anmeldeversuche

   Sie können auch Ihren eigenen Filter hinzufügen. Weitere Details finden Sie unten im Abschnitt Filterverwaltung.

5. Geben Sie die Jail-Aktion an.

   Sie können folgende bereits in Plesk eingerichtete Aktionen verwenden:

   • iptables zum Sperren eines Angreifers auf einem einzigen Port
   • iptables-allports zum Sperren eines Angreifers auf allen Ports
   • iptables-multiport zum Sperren eines Angreifers auf mehreren Ports
   • sendmail zum Senden von E-Mail-Benachrichtigungen an eine bestimmte E-Mail-Adresse

   Wählen Sie eine Aktion aus dem Menü Aktionen aus und klicken Sie auf Hinzufügen, um sie zum Jail hinzuzufügen. Sie können einem Jail beliebig viele Aktionen hinzufügen. Aktionen können an Ihre Anforderungen angepasst werden. Sie können zum Beispiel eine bestimmte E-Mail-Adresse für die Benachrichtigungen oder Ports festlegen, die geschlossen werden sollen.

6. Geben Sie im Feld Protokollpfad mindestens eine Protokolldatei an, die Fail2Ban auf Hinweise eines Angriffs durchsucht.

7. Legen Sie den Zeitraum für die Sperre der IP-Adresse in Sekunden fest.

8. Legen Sie die Anzahl der fehlgeschlagenen Anmeldeversuche fest.

9. Klicken Sie auf OK.

   

So ändern Sie die Einstellungen eines vorhandenen Jails:

1. Melden Sie sich in Plesk an.
2. Go to  Tools & Settings > IP Address Banning (Fail2Ban) (under „Security“), and then go to the „Jails“ tab.
3. Click the jail’s name, and then click Change Settings.
4. Bearbeiten Sie die Jail-Einstellungen und klicken Sie auf OK.

So entfernen Sie ein Jail:

1. Melden Sie sich in Plesk an.
2. Go to  Tools & Settings > IP Address Banning (Fail2Ban) (under „Security“), and then go to the „Jails“ tab.
3. Wählen Sie ein Jail aus und klicken Sie auf OK.

Filterverwaltung

So fügen Sie einen Filter hinzu, der von einer Jail genutzt werden kann:

1. Melden Sie sich in Plesk an.
2. Go to  Tools & Settings > IP Address Banning (Fail2Ban) (under „Security“), and then go to the „Jails“ tab.
3. Click Manage Filters, and then click Add Filter.
4. Geben Sie den Namen des Filters und den regulären Ausdruck an, der für den Abgleich der Zeilen der Protokolldateien verwendet werden soll. Einzelheiten zu Fail2Ban-Filtern finden Sie in der technischen Dokumentation von Fail2Ban unter http://www.fail2ban.org/wiki/index.php/MANUAL_0_8#Filters. Da Fail2Ban eine Python-Anwendung ist, können Sie Einzelheiten zu Python-spezifischen regulären Ausdrücken in der Python Dokumentation unter https://docs.python.org/2/library/re.html nachlesen.