Fail2ban dient zur Vorbeugung von Einbrüchen bzw. zum Austesten von Passwörtern. Ab einer bestimmten Anzahl von Fehlversuchen wird die IP des Versuchers (oder Angreifers) für eine bestimmte Zeit über IPTables (Firewall) gesperrt.
Heutzutage finden fast auf jeder IP Einlogversuche statt, je nach IP oder Server in unterschiedlich hoher Zahl. Je mehr Versuche, umso mehr ist Fail2ban empfehlenswert, um einfach die Anzahl der Versuche niedrig zu halten und somit die Wahrscheinlichkeit eines Treffers zu minimieren. (Es gilt aber trotzdem sichere Passwörter zu verwenden!). Fail2ban läßt sich für SSH, Mail, Apache, FTP etc. verwenden. In erster Linie wird es für SSH verwendet. Für SSH kann man auch einen anderen Port als 22 einsetzen, dies schmältert auch die Anzahl der Einlog-Versuche oder noch besser man nutzt einen anderen SSH-Port und Fail2ban.
Ich setze Fail2ban gerne ein, wenn wirklich viele Angriffe standfinden - auf den Server ist inzwischen leider der Fall. Es kommt hier immer auf den Kundenfall bzw. Verwendungszweck des Servers an und man sollte die Konfiguration von Fail2ban danach ausrichten.
Alternative Denyhosts
Denyhosts ist für SSH-Angriffe (Versuche) geignet. Es sperrt IP's über die /etc/hosts.deny des Systems.
http://denyhosts.sourceforge.net
http://www.fail2ban.org
