Fail2ban: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „{{DISPLAYTITLE:fail2ban}} {{DEFAULTSORT:fail2ban}}“ |
K Textersetzung - „z. B. “ durch „beispielsweise “ |
||
| (95 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
'''fail2ban''' - Intrusion Prevention System | |||
[[Datei:Fail2ban logo.png|mini]] | |||
== Beschreibung == | |||
; Framework zur Vorbeugung gegen Einbrüche | |||
* [[Intrusion Prevention System]] | |||
* [[Portable Operating System Interface|POSIX]]-Betriebssysteme | |||
** mit manipulierbarem Paketfiltersystem/[[Firewall]] wie [[iptables]] | |||
; Hersteller | |||
* Cyril Jaquier, Arturo 'Buanzo' Busleiman | |||
; Betriebssysteme | |||
* [[Linux]]/[[Portable Operating System Interface|POSIX]] mit Firewall | |||
; Programmiersprache | |||
* [[Python (Programmiersprache)|Python]] | |||
; Lizenz | |||
* [[GNU General Public License|GPL Version 2]] ([[freie Software]]) | |||
== Funktionsweise == | |||
; [[IP-Adresse]]n blockieren | |||
* die wahrscheinlich zu Angreifern gehören | |||
* die sich Zugang zum System verschaffen wollen | |||
; Log-File analyse | |||
* /var/log/pwdfail | |||
* /var/log/auth.log | |||
* /var/log/apache2/error.log | |||
IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen | |||
Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird). Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force|Brute Force]]) zu stoppen | |||
=== Aktionen === | |||
; Wenn eine wahrscheinlich bösartige IP entdeckt wurde | |||
* etwa diese IP mit einer Regel in ''iptables'' oder | |||
* der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann | |||
=== Filter === | |||
; Werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert | |||
* die vom Administrator gut angepasst werden können | |||
; Standardfilter | |||
* [[Apache HTTP Server|Apache]] | |||
* [[Lighttpd]] | |||
* [[OpenSSH|sshd]] | |||
* [[vsftpd]] | |||
* [[qmail]] | |||
* [[Postfix (Mail Transfer Agent)|Postfix]] | |||
* [[Courier Mail Server]] | |||
=== Jail === | |||
; Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet | |||
* ist in der Lage, bösartige Hosts zu blockieren | |||
; Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt | |||
* welche sich mit Regulären Ausdrücken auswerten lassen | |||
* Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert | |||
<noinclude> | |||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}/}} | |||
=== Links === | |||
==== Projekt ==== | |||
# https://www.fail2ban.org | |||
==== Weblinks ==== | |||
# https://github.com/fail2ban/ | |||
# https://www.fail2ban.org/ | |||
{{DISPLAYTITLE:fail2ban}} | {{DISPLAYTITLE:fail2ban}} | ||
{{DEFAULTSORT:fail2ban}} | |||
[[Kategorie:Fail2ban]] | |||
</noinclude> | |||
Aktuelle Version vom 28. April 2025, 10:24 Uhr
fail2ban - Intrusion Prevention System
Beschreibung
- Framework zur Vorbeugung gegen Einbrüche
- Intrusion Prevention System
- POSIX-Betriebssysteme
- Hersteller
- Cyril Jaquier, Arturo 'Buanzo' Busleiman
- Betriebssysteme
- Programmiersprache
- Lizenz
Funktionsweise
- IP-Adressen blockieren
- die wahrscheinlich zu Angreifern gehören
- die sich Zugang zum System verschaffen wollen
- Log-File analyse
- /var/log/pwdfail
- /var/log/auth.log
- /var/log/apache2/error.log
IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen
Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird). Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen
Aktionen
- Wenn eine wahrscheinlich bösartige IP entdeckt wurde
- etwa diese IP mit einer Regel in iptables oder
- der zu TCP-Wrappern gehörenden
hosts.denyzu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann
Filter
- Werden durch reguläre Ausdrücke definiert
- die vom Administrator gut angepasst werden können
- Standardfilter
Jail
- Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet
- ist in der Lage, bösartige Hosts zu blockieren
- Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt
- welche sich mit Regulären Ausdrücken auswerten lassen
- Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert