Fail2ban: Unterschied zwischen den Versionen

Aktuelle Version vom 28. April 2025, 10:24 Uhr

fail2ban - Intrusion Prevention System

Beschreibung

Framework zur Vorbeugung gegen Einbrüche

Intrusion Prevention System
POSIX-Betriebssysteme
- mit manipulierbarem Paketfiltersystem/Firewall wie iptables

Hersteller

Cyril Jaquier, Arturo 'Buanzo' Busleiman

Betriebssysteme

Linux/POSIX mit Firewall

Programmiersprache

Python

Lizenz

GPL Version 2 (freie Software)

Funktionsweise

IP-Adressen blockieren

die wahrscheinlich zu Angreifern gehören
die sich Zugang zum System verschaffen wollen

Log-File analyse

/var/log/pwdfail
/var/log/auth.log
/var/log/apache2/error.log

IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen

Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird). Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen

Aktionen

Wenn eine wahrscheinlich bösartige IP entdeckt wurde

etwa diese IP mit einer Regel in iptables oder
der zu TCP-Wrappern gehörenden hosts.deny zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann

Filter

Werden durch reguläre Ausdrücke definiert

die vom Administrator gut angepasst werden können

Standardfilter

Jail

Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet

ist in der Lage, bösartige Hosts zu blockieren

Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt

welche sich mit Regulären Ausdrücken auswerten lassen
Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert

Anhang

Siehe auch

Links

Projekt

https://www.fail2ban.org

Weblinks

@@ Zeile 1: / Zeile 1: @@
-{{DISPLAYTITLE:fail2ban}}
+'''fail2ban''' - Intrusion Prevention System
-'''topic''' - Kurzbeschreibung
+[[Datei:Fail2ban logo.png|mini]]
 == Beschreibung ==
-[[Datei:Fail2ban logo.png|mini]]
+; Framework zur Vorbeugung gegen Einbrüche
-[[Datei:Fail2ban screenshot.jpg|mini]]
+* [[Intrusion Prevention System]]
-'''fail2ban'''
+* [[Portable Operating System Interface|POSIX]]-Betriebssysteme
-* sinngemäß „Fehlschlag führt zum Bann“
+** mit manipulierbarem Paketfiltersystem/[[Firewall]] wie [[iptables]]
-* ist ein in [[Python (Programmiersprache)|Python]] geschriebenes ''[[Intrusion Prevention System]]''
-* Framework zur Vorbeugung gegen Einbrüche
+; Hersteller
-* das auf allen [[Portable Operating System Interface|POSIX]]-Betriebssystemen läuft
+* Cyril Jaquier, Arturo 'Buanzo' Busleiman
-* die ein manipulierbares Paketfiltersystem oder eine [[Firewall]] besitzen (z.&nbsp;B. [[iptables]] unter Linux)
-* [http://www.fail2ban.org/wiki/index.php/Requirements Requirements – Fail2ban]
+; Betriebssysteme
+* [[Linux]]/[[Portable Operating System Interface|POSIX]] mit Firewall
+; Programmiersprache
+* [[Python (Programmiersprache)|Python]]
+; Lizenz
+* [[GNU General Public License|GPL Version 2]] ([[freie Software]])
+== Funktionsweise ==
+; [[IP-Adresse]]n blockieren
+* die wahrscheinlich zu Angreifern gehören
+* die sich Zugang zum System verschaffen wollen
+; Log-File analyse
+* /var/log/pwdfail
+* /var/log/auth.log
+* /var/log/apache2/error.log
+IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen
+Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird). Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force|Brute Force]]) zu stoppen
+=== Aktionen ===
+; Wenn eine wahrscheinlich bösartige IP entdeckt wurde
+* etwa diese IP mit einer Regel in ''iptables'' oder
+* der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann
+=== Filter ===
+; Werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert
+* die vom Administrator gut angepasst werden können
+; Standardfilter
+* [[Apache HTTP Server|Apache]]
+* [[Lighttpd]]
+* [[OpenSSH|sshd]]
+* [[vsftpd]]
+* [[qmail]]
+* [[Postfix (Mail Transfer Agent)|Postfix]]
+* [[Courier Mail Server]]
-{| class="wikitable sortable options"
+=== Jail ===
-|-
+; Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet
-! Option !! Beschreibung
+* ist in der Lage, bösartige Hosts zu blockieren
-|-
-| Hersteller || Cyril Jaquier, Arturo 'Buanzo' Busleiman
-|-
-| Version || 0.9.5
-|-
-| AktuelleVersionFreigabeDatum || 15. Juli 2016
-|-
-| Vorabversion || 0.10.0
-|-
-| Betriebssystem || [[Linux]]/[[Portable Operating System Interface|POSIXe]] mit Firewall
-|-
-| Programmiersprache || [[Python (Programmiersprache)|Python]]
-|-
-| Kategorie || [[Intrusion Prevention System]]
-|-
-| Lizenz || [[GNU General Public License|GPL Version 2]] ([[freie Software]])
-|-
-| Website || [http://www.fail2ban.org/ www.fail2ban.org]
-|}
-== Installation ==
+; Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt
-== Anwendungen ==
+* welche sich mit Regulären Ausdrücken auswerten lassen
-=== Fehlerbehebung ===
+* Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert
-== Syntax ==
-=== Optionen ===
-=== Parameter ===
-=== Umgebungsvariablen ===
-=== Exit-Status ===
-== Konfiguration ==
-=== Dateien ===
-== Sicherheit ==
-== Siehe auch ==
+<noinclude>
-* [[Filter recidive]]
+== Anhang ==
-* [[DenyHosts]]
+=== Siehe auch ===
-* [[OSSEC]]
+{{Special:PrefixIndex/{{BASEPAGENAME}}/}}
-* [[Stockade (Software)]]
-=== Dokumentation ===
-==== RFC ====
-==== Man-Pages ====
-==== Info-Pages ====
 === Links ===
-==== Einzelnachweise ====
-<references />
 ==== Projekt ====
+# https://www.fail2ban.org
 ==== Weblinks ====
+# https://github.com/fail2ban/
+# https://www.fail2ban.org/
-== Testfragen ==
+{{DISPLAYTITLE:fail2ban}}
-<div class="toccolours mw-collapsible mw-collapsed">
+{{DEFAULTSORT:fail2ban}}
-''Testfrage 1''
-<div class="mw-collapsible-content">'''Antwort1'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 2''
-<div class="mw-collapsible-content">'''Antwort2'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 3''
-<div class="mw-collapsible-content">'''Antwort3'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 4''
-<div class="mw-collapsible-content">'''Antwort4'''</div>
-</div>
-<div class="toccolours mw-collapsible mw-collapsed">
-''Testfrage 5''
-<div class="mw-collapsible-content">'''Antwort5'''</div>
-</div>
+[[Kategorie:Fail2ban]]
+</noinclude>
-= TMP =
-[[Kategorie:Intrusion Detection]]
-[[Kategorie:Freie Software]]
-[[Kategorie:Linux-Software]]
-{{DEFAULTSORT:fail2ban}}