Zum Inhalt springen

Diskussion:Fail2ban

Aus Foxwiki

Sperrt Rechner, die wiederholt Authentifikationsfehler verursachen

Fail2ban überwacht Protokolldateien (wie /var/log/auth.log, 

/var/log/apache/access.log) und sperrt fehlerverursachende Adressen durch

das zeitweilige oder dauerhafte Anpassen bestehender Firewall-Regeln. Fail2ban ermöglicht die einfache Festlegung unterschiedlicher Aktionen, wie das Sperren einer IP mittels iptables- oder hostsdeny-Regeln oder lediglich das Senden einer E-Mail-Benachrichtigung.

Standardmäßig wird das Programm mit Filtern für diverse Dienste (sshd, Apache, proftpd, sasl, usw.) verteilt. Die Konfiguration kann aber einfach erweitert werden, um beliebige andere Textdateien zu überwachen. Alle Filter und Aktionen werden in Konfigurationsdateien festgelegt, somit kann Fail2ban an die Nutzung mit einer Vielzahl von Dateien und Firewalls angepasst werden. Die folgenden Pakete werden besonders empfohlen: 

- iptables/nftables - Die Standardinstallation verwendet iptables
  für Sperren. nftables werden auch unterstützt. Sie werden es sehr
  wahrscheinlich brauchen.
- whois - Es wird von einer Reihe von mail-whois-Maßnahmen zum
  Versand von Benachrichtigungs-E-Mails genutzt, die whois-Informationen
  über angreifende Rechner nutzen. Falls sie nicht solche Maßnahmen
  ergreifen, werden Sie whois nicht benötigen.
- python3-pyinotify - Sofern Sie die Dienstprotokolle nicht mittels
  systemd überwachen, benötigen Sie pyinotify für eine effiziente
  Überwachung der Änderungen von Protokolldateien.
Abgerufen von „https://wiki.foxtom.de/index.php?title=Diskussion:Fail2ban&oldid=132873