fail2ban ist ein unentbehrliches Tool um Serverinstallationen gegen Einbruchsversuche zu immunisieren.
Was dabei immer wieder auffällt, ist, dass nach Verstreichen der BanTime die gleiche IP wiederkommt und es sofort weiter versucht.
Diese „Serientäter“ möchte man dann doch gerne für längere Zeit sperren.
Dank der weitgehenden Konfigurationsmöglichkeiten von fail2ban ist das kein großes Problem; man muss nur das Logfile von fail2ban zu Hilfe nehmen und alle wiederholten Bans für eine IP über einen längeren Zeitraum filtern und dann mit einer eigenen Regel länger am Wiederkehren hindern.
Wir erstellen die Datei /etc/fail2ban/filter.d/serialkiller.conf
# Fail2Ban configuration file [Definition] failregex = fail2ban.actions: WARNING .* Ban <HOST> ignoreregex =
/etc/fail2ban/jail.local wird um folgenden Absatz erweitert
[serialkiller] enabled = true port = any logpath = /var/log/fail2ban.log filter = serialkiller findtime = 3600 bantime = 7200 maxretry = 3
Ein darauf folgendes
fail2ban-client reload
aktiviert die erstellte Regel und alle Serientäter, die in der letzten Stunde dreimal geblockt wurden, werden jetzt für 2 Stunden blockiert.