Zum Inhalt springen

Fail2ban: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
K Textersetzung - „z. B. “ durch „beispielsweise “
 
(32 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:fail2ban}}
'''fail2ban''' - Intrusion Prevention System
'''fail2ban''' - Intrusion Prevention System
[[Datei:Fail2ban logo.png|mini]]


== Beschreibung ==
== Beschreibung ==
[[Datei:Fail2ban logo.png|mini]]
[[Datei:Fail2ban screenshot.jpg|mini]]
; Framework zur Vorbeugung gegen Einbrüche
; Framework zur Vorbeugung gegen Einbrüche
* [[Intrusion Prevention System]]
* [[Intrusion Prevention System]]
Zeile 10: Zeile 8:
** mit manipulierbarem Paketfiltersystem/[[Firewall]] wie [[iptables]]
** mit manipulierbarem Paketfiltersystem/[[Firewall]] wie [[iptables]]


; Hersteller
* Cyril Jaquier, Arturo 'Buanzo' Busleiman


{| class="wikitable sortable options"
; Betriebssysteme
|-
* [[Linux]]/[[Portable Operating System Interface|POSIX]] mit Firewall
!  !! Beschreibung
|-
| Hersteller || Cyril Jaquier, Arturo 'Buanzo' Busleiman
|-
| Version || 1.0.2
|-
| Betriebssystem || [[Linux]]/[[Portable Operating System Interface|POSIX]] mit Firewall
|-
| Programmiersprache || [[Python (Programmiersprache)|Python]]
|-
| Kategorie || [[Intrusion Prevention System]]
|-
| Lizenz || [[GNU General Public License|GPL Version 2]] ([[freie Software]])
|-
| Website || [http://www.fail2ban.org/ www.fail2ban.org]
|}


== Installation ==
; Programmiersprache
# '''apt install fail2ban'''
* [[Python (Programmiersprache)|Python]]
Paketlisten werden gelesen… Fertig
 
Abhängigkeitsbaum wird aufgebaut… Fertig
; Lizenz
Statusinformationen werden eingelesen… Fertig
* [[GNU General Public License|GPL Version 2]] ([[freie Software]])
Die folgenden zusätzlichen Pakete werden installiert:
  python3-systemd
Vorgeschlagene Pakete:
  monit
Die folgenden NEUEN Pakete werden installiert:
  fail2ban python3-systemd
0 aktualisiert, 2 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Es müssen 490 kB an Archiven heruntergeladen werden.
Nach dieser Operation werden 2.395 kB Plattenplatz zusätzlich benutzt.
Möchten Sie fortfahren? [J/n]


== Funktionsweise ==
== Funktionsweise ==
Zeile 56: Zeile 30:
* /var/log/apache2/error.log
* /var/log/apache2/error.log


IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.
IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen


<ref>[http://www.fail2ban.org/wiki/index.php/Features Features – Fail2ban]</ref> Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).<ref>[http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 MANUAL 0 8 – Fail2ban]</ref> Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force-Methode|Brute Force]]) zu stoppen.
Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird). Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force|Brute Force]]) zu stoppen


=== Aktionen ===
=== Aktionen ===
; Wenn eine wahrscheinlich bösartige IP entdeckt wurde
; Wenn eine wahrscheinlich bösartige IP entdeckt wurde
* etwa diese IP mit einer Regel in ''iptables'' oder  
* etwa diese IP mit einer Regel in ''iptables'' oder
* der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann.<ref>[http://www.ducea.com/2006/07/03/using-fail2ban-to-block-brute-force-attacks/ Using fail2ban to Block Brute Force Attacks | MDLog:/sysadmin]</ref>
* der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann
 
=== Filter ===
=== Filter ===
; Werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert
; Werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert
* die vom Administrator gut angepasst werden können
* die vom Administrator gut angepasst werden können
Zeile 80: Zeile 53:
=== Jail ===
=== Jail ===
; Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet
; Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet
* ist in der Lage, bösartige Hosts zu blockieren.
* ist in der Lage, bösartige Hosts zu blockieren


; Eine „jail“ kann für jede Software erstellt werden, die Logdateien erstellt
; Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt
* welche sich mit Regulären Ausdrücken auswerten lassen
* welche sich mit Regulären Ausdrücken auswerten lassen
* Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert.<ref>{{Webarchiv |url=http://cup.wpcoder.de/fail2ban-ip-firewall/ |text=Sicherheit und Spam-Schutz: Fail2Ban installieren und einrichten |wayback=20130713084151 |archiv-bot= |webciteID=}}</ref>
* Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert
 
== Anwendungen ==
=== Fehlerbehebung ===


== Syntax ==
<noinclude>
=== Optionen ===
== Anhang ==
=== Parameter ===
=== Siehe auch ===
=== Umgebungsvariablen ===
{{Special:PrefixIndex/{{BASEPAGENAME}}/}}
=== Exit-Status ===
== Konfiguration ==
=== Dateien ===
== Sicherheit ==


== Siehe auch ==
* [[Filter recidive]]
* [[DenyHosts]]
* [[OSSEC]]
* [[Stockade (Software)]]
=== Dokumentation ===
==== RFC ====
==== Man-Pages ====
==== Info-Pages ====
=== Links ===
=== Links ===
==== Einzelnachweise ====
<references />
==== Projekt ====
==== Projekt ====
# http://www.fail2ban.org
# https://www.fail2ban.org


==== Weblinks ====
==== Weblinks ====
# https://github.com/fail2ban/
# https://github.com/fail2ban/
# http://www.fail2ban.org/
# https://www.fail2ban.org/


== Testfragen ==
{{DISPLAYTITLE:fail2ban}}
<div class="toccolours mw-collapsible mw-collapsed">
{{DEFAULTSORT:fail2ban}}
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>


[[Kategorie:Intrusion Detection]]
[[Kategorie:Fail2ban]]
{{DEFAULTSORT:fail2ban}}
</noinclude>

Aktuelle Version vom 28. April 2025, 10:24 Uhr

fail2ban - Intrusion Prevention System

Beschreibung

Framework zur Vorbeugung gegen Einbrüche
Hersteller
  • Cyril Jaquier, Arturo 'Buanzo' Busleiman
Betriebssysteme
Programmiersprache
Lizenz

Funktionsweise

IP-Adressen blockieren
  • die wahrscheinlich zu Angreifern gehören
  • die sich Zugang zum System verschaffen wollen
Log-File analyse
  • /var/log/pwdfail
  • /var/log/auth.log
  • /var/log/apache2/error.log

IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen

Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird). Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen

Aktionen

Wenn eine wahrscheinlich bösartige IP entdeckt wurde
  • etwa diese IP mit einer Regel in iptables oder
  • der zu TCP-Wrappern gehörenden hosts.deny zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann

Filter

Werden durch reguläre Ausdrücke definiert
  • die vom Administrator gut angepasst werden können
Standardfilter

Jail

Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet
  • ist in der Lage, bösartige Hosts zu blockieren
Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt
  • welche sich mit Regulären Ausdrücken auswerten lassen
  • Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert


Anhang

Siehe auch

Links

Projekt

  1. https://www.fail2ban.org

Weblinks

  1. https://github.com/fail2ban/
  2. https://www.fail2ban.org/
Abgerufen von „https://wiki.foxtom.de/index.php?title=Fail2ban&oldid=138708