Fail2ban: Unterschied zwischen den Versionen

Aus Foxwiki
Subpages:
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Zeile 29: Zeile 29:


== Funktionalität ==
== Funktionalität ==
; Der Hauptzweck von fail2ban ist das Bestimmen und Blockieren bestimmter [[IP-Adresse]]n, die wahrscheinlich zu Angreifern gehören, die sich Zugang zum System verschaffen wollen.
; Bestimmen und Blockieren bestimmter [[IP-Adresse]]n
* Hauptzweck von fail2ban
* die wahrscheinlich zu Angreifern gehören, die sich Zugang zum System verschaffen wollen
* fail2ban ermittelt aus Log-Dateien (u.&nbsp;a. <code>/var/log/pwdfail</code>, <code>/var/log/auth.log</code> oder <code>/var/log/apache2/error.log</code>) IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z.&nbsp;B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.<ref>[http://www.fail2ban.org/wiki/index.php/Features Features – Fail2ban]</ref> Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).<ref>[http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 MANUAL 0 8 – Fail2ban]</ref> Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force-Methode|Brute Force]]) zu stoppen.
* fail2ban ermittelt aus Log-Dateien (u.&nbsp;a. <code>/var/log/pwdfail</code>, <code>/var/log/auth.log</code> oder <code>/var/log/apache2/error.log</code>) IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z.&nbsp;B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.<ref>[http://www.fail2ban.org/wiki/index.php/Features Features – Fail2ban]</ref> Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).<ref>[http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 MANUAL 0 8 – Fail2ban]</ref> Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force-Methode|Brute Force]]) zu stoppen.


Version vom 26. Februar 2023, 11:45 Uhr

fail2ban (sinngemäß „Fehlschlag führt zum Bann“) ist ein in Python geschriebenes Intrusion Prevention System (Framework zur Vorbeugung gegen Einbrüche), das auf allen POSIX-Betriebssystemen läuft, die ein manipulierbares Paketfiltersystem oder eine Firewall besitzen (z. B. iptables unter Linux).[1]


Option Beschreibung
Hersteller Cyril Jaquier, Arturo 'Buanzo' Busleiman
Version 0.9.5
AktuelleVersionFreigabeDatum 15. Juli 2016
Vorabversion 0.10.0
Betriebssystem Linux/POSIXe mit Firewall
Programmiersprache Python
Kategorie Intrusion Prevention System
Lizenz GPL Version 2 (freie Software)
Website www.fail2ban.org

Funktionalität

Bestimmen und Blockieren bestimmter IP-Adressen
  • Hauptzweck von fail2ban
  • die wahrscheinlich zu Angreifern gehören, die sich Zugang zum System verschaffen wollen
  • fail2ban ermittelt aus Log-Dateien (u. a. /var/log/pwdfail, /var/log/auth.log oder /var/log/apache2/error.log) IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.[2] Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).[3] Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen.
Fail2ban ist in der Lage, verschiedene Aktionen auszuführen
  • wenn eine wahrscheinlich bösartige IP entdeckt wurde, beispielsweise diese IP mit einer Regel in iptables oder der zu TCP-Wrappern gehörenden hosts.deny zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann.[4]
Die Standardkonfiguration enthält Filter für Apache, Lighttpd, sshd, vsftpd, qmail, Postfix und den Courier Mail Server.
  • Filter werden durch reguläre Ausdrücke definiert, die vom Administrator gut angepasst werden können.
  • Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet[5] und ist in der Lage, bösartige Hosts zu blockieren.[6] Ein „jail“ kann für jede Software erstellt werden, die Logdateien erstellt, welche sich mit Regulären Ausdrücken auswerten lassen.
  • Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert.[7]

Siehe auch

Einzelnachweise

  1. Requirements – Fail2ban
  2. Features – Fail2ban
  3. MANUAL 0 8 – Fail2ban
  4. Using fail2ban to Block Brute Force Attacks | MDLog:/sysadmin
  5. Vorlage:Webarchiv
  6. Some users do not see an alternative solution at present: SLAC Computer Security of Stanford simply states in their recommendations, "Use fail2ban to block ssh and Apache dictionary attacks"
  7. Vorlage:Webarchiv


Abgerufen von „https://wiki.foxtom.de/index.php?title=Fail2ban&oldid=55425