Fail2ban: Unterschied zwischen den Versionen
Änderung 110391 von Dirkwagner (Diskussion) rückgängig gemacht. Markierung: Rückgängigmachung |
|||
| (62 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
'''fail2ban''' - Intrusion Prevention System | |||
''' | |||
== Beschreibung == | == Beschreibung == | ||
[[Datei:Fail2ban logo.png|mini]] | [[Datei:Fail2ban logo.png|mini]] | ||
[[ | ; Framework zur Vorbeugung gegen Einbrüche | ||
* [[Intrusion Prevention System]] | |||
* | * [[Portable Operating System Interface|POSIX]]-Betriebssysteme | ||
* | ** mit manipulierbarem Paketfiltersystem/[[Firewall]] wie [[iptables]] | ||
* | ; Hersteller | ||
* | * Cyril Jaquier, Arturo 'Buanzo' Busleiman | ||
; Betriebssysteme | |||
* [[Linux]]/[[Portable Operating System Interface|POSIX]] mit Firewall | |||
; Programmiersprache | |||
* [[Python (Programmiersprache)|Python]] | |||
; Lizenz | |||
* [[GNU General Public License|GPL Version 2]] ([[freie Software]]) | |||
; Website | |||
* http://www.fail2ban.org | |||
== Funktionsweise == | |||
; [[IP-Adresse]]n blockieren | |||
* die wahrscheinlich zu Angreifern gehören | |||
* die sich Zugang zum System verschaffen wollen | |||
; Log-File analyse | |||
* /var/log/pwdfail | |||
* /var/log/auth.log | |||
* /var/log/apache2/error.log | |||
IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen. | |||
<ref>[http://www.fail2ban.org/wiki/index.php/Features Features – Fail2ban]</ref> Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).<ref>[http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 MANUAL 0 8 – Fail2ban]</ref> Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force|Brute Force]]) zu stoppen. | |||
=== Aktionen === | |||
; Wenn eine wahrscheinlich bösartige IP entdeckt wurde | |||
* etwa diese IP mit einer Regel in ''iptables'' oder | |||
* der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann.<ref>[http://www.ducea.com/2006/07/03/using-fail2ban-to-block-brute-force-attacks/ Using fail2ban to Block Brute Force Attacks | MDLog:/sysadmin]</ref> | |||
=== Filter === | |||
; Werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert | |||
* die vom Administrator gut angepasst werden können | |||
; Standardfilter | |||
* [[Apache HTTP Server|Apache]] | |||
* [[Lighttpd]] | |||
* [[OpenSSH|sshd]] | |||
* [[vsftpd]] | |||
* [[qmail]] | |||
* [[Postfix (Mail Transfer Agent)|Postfix]] | |||
* [[Courier Mail Server]] | |||
== | === Jail === | ||
; Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet | |||
* | * ist in der Lage, bösartige Hosts zu blockieren. | ||
; Eine „jail“ kann für jede Software erstellt werden, die Logdateien erstellt | |||
* welche sich mit Regulären Ausdrücken auswerten lassen | |||
== | * Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert.<ref>{{Webarchiv |url=http://cup.wpcoder.de/fail2ban-ip-firewall/ |text=Sicherheit und Spam-Schutz: Fail2Ban installieren und einrichten |wayback=20130713084151 |archiv-bot= |webciteID=}}</ref> | ||
== | |||
< | |||
<noinclude> | |||
< | == Anhang == | ||
=== Siehe auch === | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}}} | |||
==== Links ==== | |||
==== Projekt ==== | |||
# http://www.fail2ban.org | |||
===== Weblinks ===== | |||
# https://github.com/fail2ban/ | |||
# http://www.fail2ban.org/ | |||
{{DISPLAYTITLE:fail2ban}} | |||
{{DEFAULTSORT:fail2ban}} | {{DEFAULTSORT:fail2ban}} | ||
[[Kategorie:Fail2ban]] | |||
</noinclude> | |||
Aktuelle Version vom 11. Oktober 2024, 09:11 Uhr
fail2ban - Intrusion Prevention System
Beschreibung
- Framework zur Vorbeugung gegen Einbrüche
- Intrusion Prevention System
- POSIX-Betriebssysteme
- Hersteller
- Cyril Jaquier, Arturo 'Buanzo' Busleiman
- Betriebssysteme
- Programmiersprache
- Lizenz
- Website
Funktionsweise
- IP-Adressen blockieren
- die wahrscheinlich zu Angreifern gehören
- die sich Zugang zum System verschaffen wollen
- Log-File analyse
- /var/log/pwdfail
- /var/log/auth.log
- /var/log/apache2/error.log
IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.
[1] Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).[2] Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen.
Aktionen
- Wenn eine wahrscheinlich bösartige IP entdeckt wurde
- etwa diese IP mit einer Regel in iptables oder
- der zu TCP-Wrappern gehörenden
hosts.denyzu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann.[3]
Filter
- Werden durch reguläre Ausdrücke definiert
- die vom Administrator gut angepasst werden können
- Standardfilter
Jail
- Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet
- ist in der Lage, bösartige Hosts zu blockieren.
- Eine „jail“ kann für jede Software erstellt werden, die Logdateien erstellt
- welche sich mit Regulären Ausdrücken auswerten lassen
- Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert.[4]