Fail2ban unter Linux/Ubuntu einrichten und Updates automatisieren
Zwei schnelle Maßnahmen, die deinen Server deutlich sicherer machen: Fail2ban sperrt hartnäckige Login-Bots aus, automatische Updates schließen Sicherheitslücken von allein.

Zwei schnelle Maßnahmen, die deinen Server deutlich sicherer machen: Fail2ban sperrt hartnäckige Login-Bots aus, automatische Updates schließen Sicherheitslücken von allein.

Sobald dein Server online ist, klopfen automatisierte Bots an und probieren Logins durch. Mit zwei kleinen Maßnahmen nimmst du ihnen den Wind aus den Segeln: Fail2ban sperrt Adressen, die zu oft scheitern, und automatische Updates schließen bekannte Sicherheitslücken, ohne dass du daran denken musst. Beides ist in wenigen Minuten eingerichtet.
Fail2ban installieren und eine sshd-Regel setzen, dann unattended-upgrades aktivieren. Danach läuft der Schutz im Hintergrund.
Wenn du SSH schon auf Key-Login umgestellt hast, ist die Lage ohnehin entspannt. Fail2ban hält die Logs trotzdem sauber und reduziert die Last durch ständige Versuche.
Fail2ban liest die Logdateien und sperrt eine IP automatisch, wenn von dort zu viele Logins fehlschlagen.
Installieren:
Lege eine eigene Konfiguration an. Die Datei jail.local überschreibt die Standardwerte, ohne dass ein Update sie wieder zurücksetzt:
Trag eine Regel für SSH ein:
Das bedeutet: fünf Fehlversuche innerhalb von zehn Minuten führen zu einer Stunde Sperre. Aktivier den Dienst und starte ihn:
Prüf, ob die SSH-Regel greift:
Für mehr Ruhe kannst du bantime deutlich erhöhen, etwa auf 24h oder 1w. Wiederholungstäter sperrt Fail2ban mit der Option bantime.increment = true automatisch immer länger.
Eingespielte Updates sind die einfachste Sicherheitsmaßnahme überhaupt. Unter Ubuntu und Debian übernimmt das unattended-upgrades.
Bei der Abfrage bestätigst du, dass Sicherheitsupdates automatisch installiert werden. Ab jetzt hält sich das System selbst aktuell.
Kernel-Updates werden erst nach einem Neustart wirksam. Plane gelegentlich einen Reboot ein, oder aktiviere in /etc/apt/apt.conf.d/50unattended-upgrades den automatischen Neustart zu einer ruhigen Uhrzeit.
fail2ban-client status sshd meldet einen FehlerIch habe mich selbst ausgesperrtUnklar, ob Updates laufenPflicht ist es nicht, sinnvoll schon. Mit Key-Login sind Brute-Force-Versuche zwar aussichtslos, aber Fail2ban hält die Logs sauber und senkt die Last durch Dauerbeschuss.
Ja. Fail2ban bringt Regeln für viele Dienste mit, etwa Nginx oder Mailserver. Du aktivierst sie in der jail.local nach demselben Muster wie sshd.
Reine Sicherheitsupdates sind sehr selten ein Problem. Bei kritischen Produktivsystemen testet man größere Upgrades vorher, die täglichen Sicherheitspatches laufen aber gefahrlos automatisch.
VPS auf AMD EPYC mit NVMe-SSD, voller Kontrolle und Hosting in Deutschland.
VPS konfigurieren
sudo apt install -y fail2bansudo nano /etc/fail2ban/jail.local[sshd]
enabled = true
maxretry = 5
findtime = 10m
bantime = 1hsudo systemctl enable --now fail2bansudo fail2ban-client status sshdsudo apt install -y unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgradessudo dnf install -y dnf-automatic
sudo systemctl enable --now dnf-automatic.timer