Zum Inhalt springen

Fail2ban: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Zeile 16: Zeile 16:
; [[IP-Adresse]]n blockieren
; [[IP-Adresse]]n blockieren
* die wahrscheinlich zu Angreifern gehören
* die wahrscheinlich zu Angreifern gehören
* die sich Zugang zum System verschaffen wollen
* die sich Zugang verschaffen wollen


; Log-File analyse
; Log-File analyse

Version vom 11. Januar 2026, 14:12 Uhr

fail2ban - Intrusion Prevention System

Beschreibung

Framework zur Vorbeugung gegen Einbrüche

Betriebssysteme
Programmiersprache
Lizenz

Funktionsweise

IP-Adressen blockieren
  • die wahrscheinlich zu Angreifern gehören
  • die sich Zugang verschaffen wollen
Log-File analyse
  • /var/log/pwdfail
  • /var/log/auth.log
  • /var/log/apache2/error.log
IP-Adressen
  • die in einem vom Administrator angesetzten Zeitrahmen
  • beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden
  • oder andere gefährliche
  • oder sinnlose Aktionen ausführen
Normalerweise ist fail2ban so konfiguriert
  • dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt
  • um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).
  • Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen

Aktionen

Wenn eine wahrscheinlich bösartige IP entdeckt wurde
  • etwa diese IP mit einer Regel in iptables oder
  • der zu TCP-Wrappern gehörenden hosts.deny zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann

Filter

Werden durch reguläre Ausdrücke definiert
  • die gut angepasst werden können
Standardfilter

Jail

Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet
  • ist in der Lage, bösartige Hosts zu blockieren
Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt
  • welche sich mit regulären Ausdrücken auswerten lassen
  • Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert


Anhang

Siehe auch

Links

Projekt

  1. https://www.fail2ban.org

Weblinks

  1. https://github.com/fail2ban/
  2. https://www.fail2ban.org/
Abgerufen von „https://wiki.foxtom.de/index.php?title=Fail2ban&oldid=159796