Dieser Beitrag baut auf meinem Beitrag „Raspberry Pi SSH absichern: Sichere Anmeldung mit Schlüsseln statt Passwörtern” auf. Die Absicherung mit einem SSH-Schlüssel ist zwar keine Voraussetzung für die Installation von Fail2ban, aber auf jeden Fall ein wichtiger Schritt zu einem sicheren System.

Nachdem du deinen Raspberry Pi per SSH abgesichert und die Anmeldung auf SSH-Schlüssel umgestellt hast, ist der wichtigste Zugriffspunkt bereits gut geschützt.

Trotzdem laufen auf einem Raspberry-Pi-Server weiterhin automatisierte SSH-Angriffe, die zwar scheitern, aber Logdateien füllen und unnötige Systemressourcen belegen.

Bots scannen IP-Adressen, versuchen sich mit ungültigen Passwörtern und Schlüsseln anzumelden und erzeugen so dauerhaft Fehlversuche. Genau hier setzt Fail2ban auf dem Raspberry Pi an.

Fail2ban blockiert solche Angriffe automatisch, bevor sie zur Belastung oder zum Sicherheitsrisiko werden – und das vollständig lokal, ohne Cloud-Dienste oder zusätzliche Hardware.

1. Was ist Fail2ban – und was nicht?

Fail2ban ist ein Sicherheitsdienst, der Logdateien überwacht und bei verdächtigem Verhalten automatisch reagiert.

Was Fail2ban macht:

• überwacht Logdateien (z. B. /var/log/auth.log)
• erkennt wiederholte Fehlanmeldungen
• sperrt angreifende IP-Adressen automatisch per Firewall
• Sperrung kann zeitlich begrenzt oder dauerhaft erfolgen

Was Fail2ban nicht macht:

• es ersetzt keine SSH-Schlüssel
• es schützt nicht vor allen Arten von Angriffen
• es ist kein vollwertiger Firewall-Ersatz.

Fail2ban ergänzt die SSH-Absicherung, ersetzt sie aber nicht.

2. Warum Fail2ban auch bei SSH-Schlüsseln sinnvoll ist

Auch wenn Passwort-Logins deaktiviert sind:

• laufen weiterhin automatisierte SSH-Login-Versuche

• werden Logdateien unnötig gefüllt

• können Systemressourcen gebunden werden

Fail2ban sorgt dafür, dass:

• IP-Adressen nach wenigen Fehlversuchen gesperrt werden

• Angriffe sichtbar und kontrollierbar bleiben

• dein Raspberry Pi insgesamt ruhiger und stabiler läuft

Das ist besonders bei Headless-Servern, NAS-Setups, Pi-hole-Installationen oder dauerhaft laufenden Systemen sinnvoll.

3. Fail2ban auf dem Raspberry Pi installieren

Die Installation von Fail2ban auf Raspberry Pi OS ist unkompliziert.

Nach der Installation läuft der Dienst in der Regel bereits:

4. Grundkonfiguration: Warum du jail.local nutzen solltest

Fail2ban bringt eine Standardkonfiguration (jail.conf) mit.

Diese Datei solltest du nicht direkt bearbeiten, da sie bei Updates überschrieben werden kann.

Stattdessen legst du eine eigene Konfigurationsdatei an:

Alle eigenen Anpassungen gehören ausschließlich in diese Datei.

5. Minimale, sinnvolle SSH-Konfiguration für Fail2ban

Füge folgende Konfiguration in die Datei jail.local ein:

Bedeutung der wichtigsten Optionen

• maxretry

  Anzahl erlaubter Fehlversuche, bevor eine IP gesperrt wird

• findtime

  Zeitraum, in dem die Fehlversuche gezählt werden

• bantime

  Dauer der IP-Sperre

Diese Werte sind bewusst moderat gewählt und eignen sich gut für Heim- und Serverbetrieb.

6. Fail2ban neu starten und aktivieren

Nach der Konfiguration muss Fail2ban neu gestartet werden:

Prüfen, ob das SSH-Jail aktiv ist:

7. Gebannte IP-Adressen anzeigen und verwalten

Aktuell gesperrte IPs anzeigen:

IP manuell entsperren:

Gerade im Heimnetz ist das hilfreich, falls man sich selbst einmal ausgesperrt hat.

8. Log anzeigen

In der Konfiguration haben wir für die Log-Datei den Pfad /var/log angegeben. Mit folgendem Befehl kannst du diese ansehen:

9. Zusammenspiel mit SSH-Schlüsseln

Die Kombination aus:

• SSH-Schlüsseln

• deaktivierter Passwort-Authentifizierung

• Fail2ban

ergibt eine sehr robuste Grundabsicherung:

• keine Passwortangriffe

• automatische Reaktion auf Scans

• minimaler Wartungsaufwand

Fail2ban greift nur ein, wenn tatsächlich etwas schiefläuft, und bleibt ansonsten unauffällig im Hintergrund.

Fazit

Fail2ban ergänzt eine sichere SSH-Konfiguration auf dem Raspberry Pi perfekt.

Es blockiert SSH-Angriffe automatisch, hält Logdateien sauber und reduziert unnötige Zugriffsversuche auf ein Minimum.

Für jeden Raspberry-Pi-Server, der dauerhaft läuft oder im Netzwerk erreichbar ist, gehört Fail2ban zur sinnvollen Basissicherung – besonders im Zusammenspiel mit SSH-Schlüsseln.