Zum Inhalt springen

Fail2ban: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
 
(78 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:fail2ban}}
'''fail2ban''' - [[Intrusion Prevention System]]
'''topic''' - Kurzbeschreibung
 
== Beschreibung ==
== Beschreibung ==
[[Datei:Fail2ban logo.png|mini]]
Framework zur Vorbeugung gegen [[Einbrüche]]
[[Datei:Fail2ban screenshot.jpg|mini]]
 
'''fail2ban'''
; Betriebssysteme
* sinngemäß „Fehlschlag führt zum Bann“
* [[Linux]]/[[Portable Operating System Interface|POSIX]] mit Firewall
* ist ein in [[Python (Programmiersprache)|Python]] geschriebenes ''[[Intrusion Prevention System]]''
 
* Framework zur Vorbeugung gegen Einbrüche
; Programmiersprache
* das auf allen [[Portable Operating System Interface|POSIX]]-Betriebssystemen läuft
* [[Python (Programmiersprache)|Python]]
* die ein manipulierbares Paketfiltersystem oder eine [[Firewall]] besitzen (z. B. [[iptables]] unter Linux)
 
* [http://www.fail2ban.org/wiki/index.php/Requirements Requirements – Fail2ban]
; Lizenz
* [[GNU General Public License|GPL Version 2]] ([[freie Software]])
 
== Funktionsweise ==
; [[IP-Adresse]]n blockieren
* die wahrscheinlich zu Angreifern gehören
* die sich Zugang verschaffen wollen
 
; Log-File analyse
* /var/log/pwdfail
* /var/log/auth.log
* /var/log/apache2/error.log
 
; IP-Adressen
* die in einem vom Administrator angesetzten Zeitrahmen
* beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden
* oder andere gefährliche
* oder sinnlose Aktionen ausführen
 
; Normalerweise ist fail2ban so konfiguriert
* dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt
* um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).
* Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force|Brute Force]]) zu stoppen
 
=== Aktionen ===
; Wenn eine wahrscheinlich bösartige IP entdeckt wurde
* etwa diese IP mit einer Regel in ''iptables'' oder
* der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann
=== Filter ===
; Werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert
* die gut angepasst werden können


{| class="wikitable sortable options"
; Standardfilter
|-
* [[Apache HTTP Server|Apache]]
! Option !! Beschreibung
* [[Lighttpd]]
|-
* [[OpenSSH|sshd]]
| Hersteller || Cyril Jaquier, Arturo 'Buanzo' Busleiman
* [[vsftpd]]
|-
* [[qmail]]
| Version || 0.9.5
* [[Postfix (Mail Transfer Agent)|Postfix]]
|-
* [[Courier Mail Server]]
| AktuelleVersionFreigabeDatum || 15. Juli 2016
|-
| Vorabversion || 0.10.0
|-
| Betriebssystem || [[Linux]]/[[Portable Operating System Interface|POSIXe]] mit Firewall
|-
| Programmiersprache || [[Python (Programmiersprache)|Python]]
|-
| Kategorie || [[Intrusion Prevention System]]
|-
| Lizenz || [[GNU General Public License|GPL Version 2]] ([[freie Software]])
|-
| Website || [http://www.fail2ban.org/ www.fail2ban.org]
|}


== Installation ==
=== Jail ===
== Anwendungen ==
; Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet
=== Fehlerbehebung ===
* ist in der Lage, bösartige Hosts zu blockieren
== Syntax ==
=== Optionen ===
=== Parameter ===
=== Umgebungsvariablen ===
=== Exit-Status ===
== Konfiguration ==
=== Dateien ===
== Sicherheit ==


== Siehe auch ==
; Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt
* [[Filter recidive]]
* welche sich mit regulären Ausdrücken auswerten lassen
* [[DenyHosts]]
* Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert
* [[OSSEC]]
 
* [[Stockade (Software)]]
<noinclude>
 
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}


=== Dokumentation ===
==== RFC ====
==== Man-Pages ====
==== Info-Pages ====
=== Links ===
=== Links ===
==== Einzelnachweise ====
<references />
==== Projekt ====
==== Projekt ====
# https://www.fail2ban.org
==== Weblinks ====
==== Weblinks ====
# https://github.com/fail2ban/
# https://www.fail2ban.org/


== Testfragen ==
{{DISPLAYTITLE:fail2ban}}
<div class="toccolours mw-collapsible mw-collapsed">
{{DEFAULTSORT:fail2ban}}
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>
 
 


= TMP =
[[Kategorie:Fail2ban]]
[[Kategorie:Intrusion Detection]]
</noinclude>
[[Kategorie:Freie Software]]
[[Kategorie:Linux-Software]]
{{DEFAULTSORT:fail2ban}}

Aktuelle Version vom 11. Januar 2026, 16:13 Uhr

fail2ban - Intrusion Prevention System

Beschreibung

Framework zur Vorbeugung gegen Einbrüche

Betriebssysteme
Programmiersprache
Lizenz

Funktionsweise

IP-Adressen blockieren
  • die wahrscheinlich zu Angreifern gehören
  • die sich Zugang verschaffen wollen
Log-File analyse
  • /var/log/pwdfail
  • /var/log/auth.log
  • /var/log/apache2/error.log
IP-Adressen
  • die in einem vom Administrator angesetzten Zeitrahmen
  • beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden
  • oder andere gefährliche
  • oder sinnlose Aktionen ausführen
Normalerweise ist fail2ban so konfiguriert
  • dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt
  • um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).
  • Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen

Aktionen

Wenn eine wahrscheinlich bösartige IP entdeckt wurde
  • etwa diese IP mit einer Regel in iptables oder
  • der zu TCP-Wrappern gehörenden hosts.deny zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann

Filter

Werden durch reguläre Ausdrücke definiert
  • die gut angepasst werden können
Standardfilter

Jail

Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet
  • ist in der Lage, bösartige Hosts zu blockieren
Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt
  • welche sich mit regulären Ausdrücken auswerten lassen
  • Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert


Anhang

Siehe auch

Links

Projekt

  1. https://www.fail2ban.org

Weblinks

  1. https://github.com/fail2ban/
  2. https://www.fail2ban.org/
Abgerufen von „https://wiki.foxtom.de/index.php?title=Fail2ban&oldid=159845