Wer einen Proxmox VE Host im Internet betreibt und die Loginoberfläche so für alle offen hat, sollte sich vor fehlerhaften “Login Versuchen” schützen. Doch Fail2ban muss erstmal lernen wie ein fehlerhafter Loginversuch bei Proxmox aussieht. Dafür erstellen wir bei der Einrichtung eine kleine Konfigurationsdatei die dabei fail2ban unterstützt.
Wer noch kein fail2ban auf dem Proxmox Host installiert hat, der sollte dies nun tun mit folgendem Befehl.
apt install fail2ban
Als nächstes aktivieren / erstellen wir die Funktion damit fail2ban “Proxmox” als Aufgabe akzeptiert.
Dafür fügen wir in der Datei “/etc/fail2ban/filter.d/proxmox.conf” ein paar Zeilen hinzu.
Wer es genau wissen möchte. In dieser Konfiguration wird rückwirkend 6 Stunden in die Vergangenheit geschaut und bei 3 Fehlversuchen für wird 6 Stunden gesperrt. Diese Werte könnt Ihr natürlich auf eure Anforderung anpassen.
[proxmox]
enabled = true
port = https,http,8006
filter = proxmox
logpath = /var/log/daemon.log
maxretry = 3
# 6 ban time
bantime = 21600
# 6 Stunden Rückwärts
findtime = 21600
Jetzt müssen wir Fail2Ban noch beibringen wie man fehlerhafte Logins erkennt. Sowas macht sich in der Regel bemerkbar mit Einträgen in eine Logdatei. Wir lesen also die Datei aus und werten die dort enthaltenen Informationen aus.
Wir legen eine neue Datei an mit folgenden Pfad. /etc/fail2ban/jail.local
[Definition]
failregex = pvedaemon\[.*authentication failure; rhost=<HOST> user=.* msg=.*
ignoreregex =
Abschließend einmal alles zu Fail2ban Neustarten.
systemctl restart fail2ban
16. Dezember 2022 um 18:35
Man sollte auch ssh (22) hinzufuegen….
Und evtl Ausnahmen fuer eigene IP:
ignoreip = xx.xx.xx.xx/yy
5. Januar 2023 um 19:45
Hi,
danke für den Beitrag. Bei
“Dafür fügen wir in der Datei “/etc/fail2ban/filter.d/proxmox.conf” ein paar Zeilen hinzu.”
hat sich aber wohl ein Tippfehler eingeschlichen (ist die gleiche Datei wie unten).
Sollte vermutlich die
/etc/fail2ban/jail.local
sein, oder?
lG
Rene
6. Januar 2023 um 10:21
Wie Recht du hast. Ich habe das angepasst.
20. Januar 2023 um 14:04
Hi Dennis,
du hast glaube die Filter und Jail config vertauscht?
VG, Jörg