Sicherheitstools: Fail2ban und RKHunter

Übersicht

Diese Anleitung behandelt die Installation und Konfiguration von zwei wichtigen Linux-Sicherheitstools:

  1. Fail2ban: Schützt deinen Server vor Brute-Force-Angriffen, indem IPs nach wiederholten fehlgeschlagenen Anmeldeversuchen blockiert werden.
  2. RKHunter: Scannt dein System nach Rootkits und verdächtigen Dateien.

Beide Tools arbeiten zusammen, um die Sicherheit deines Servers zu erhöhen.

1. Fail2ban

Installation

Auf Debian/Ubuntu:

sudo apt update
sudo apt install fail2ban

Auf RHEL/CentOS:

sudo dnf install epel-release
sudo dnf install fail2ban

Konfiguration

  1. Kopiere die Standardkonfigurationsdatei:

    sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

  2. Bearbeite die Datei jail.local:

    sudo vi /etc/fail2ban/jail.local

    Beispielkonfiguration für SSH:

    [sshd]
enabled = true
port = ssh
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600

  3. Starte Fail2ban neu:

    sudo systemctl restart fail2ban

Überwachung

  • Status von Fail2ban prüfen:

    sudo fail2ban-client status

  • Details für eine spezifische Jail anzeigen:

    sudo fail2ban-client status sshd

2. RKHunter

Installation

Auf Debian/Ubuntu:

sudo apt update
sudo apt install rkhunter

Auf RHEL/CentOS:

sudo dnf install epel-release
sudo dnf install rkhunter

Verwendung

  1. Datenbank von RKHunter aktualisieren:

    sudo rkhunter --update

  2. Systemcheck durchführen:

    sudo rkhunter --check

  3. Scanbericht ansehen: Die Ergebnisse werden direkt im Terminal angezeigt. Achte auf Warnungen, die Aufmerksamkeit erfordern.

Automatisierte Scans

Tägliche Scans mit Cronjob einrichten:

sudo crontab -e

Füge die folgende Zeile hinzu:

0 3 * * * /usr/bin/rkhunter --check --skip-keypress

3. Kombination von Fail2ban und RKHunter

Beide Tools ergänzen sich:

  • Fail2ban schützt deinen Server in Echtzeit, indem verdächtige IPs gesperrt werden.
  • RKHunter bietet regelmäßige Scans, um sicherzustellen, dass keine Malware oder Rootkits vorhanden sind.

Mit Ansible kannst du die Einrichtung und Konfiguration beider Tools automatisieren.

Fazit

Fail2ban und RKHunter sind leistungsstarke Tools, um deinen Linux-Server zu sichern. In Kombination bieten sie sowohl Echtzeitschutz als auch regelmäßige Sicherheitsüberprüfungen. Mit der bereitgestellten Ansible-Rolle kannst du die Einrichtung vollständig automatisieren.