Fail2ban: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 4: Zeile 4:
[[Datei:Fail2ban logo.png|mini]]
[[Datei:Fail2ban logo.png|mini]]
[[Datei:Fail2ban screenshot.jpg|mini]]
[[Datei:Fail2ban screenshot.jpg|mini]]
'''fail2ban'''
* sinngemäß „Fehlschlag führt zum Bann“
* ist ein in [[Python (Programmiersprache)|Python]] geschriebenes ''[[Intrusion Prevention System]]''
* Framework zur Vorbeugung gegen Einbrüche
* das auf allen [[Portable Operating System Interface|POSIX]]-Betriebssystemen läuft
* die ein manipulierbares Paketfiltersystem oder eine [[Firewall]] besitzen (z. B. [[iptables]] unter Linux)
* [http://www.fail2ban.org/wiki/index.php/Requirements Requirements – Fail2ban]
{| class="wikitable sortable options"
|-
! Option !! Beschreibung
|-
| Hersteller || Cyril Jaquier, Arturo 'Buanzo' Busleiman
|-
| Version || 0.9.5
|-
| AktuelleVersionFreigabeDatum || 15. Juli 2016
|-
| Vorabversion || 0.10.0
|-
| Betriebssystem || [[Linux]]/[[Portable Operating System Interface|POSIXe]] mit Firewall
|-
| Programmiersprache || [[Python (Programmiersprache)|Python]]
|-
| Kategorie || [[Intrusion Prevention System]]
|-
| Lizenz || [[GNU General Public License|GPL Version 2]] ([[freie Software]])
|-
| Website || [http://www.fail2ban.org/ www.fail2ban.org]
|}
== Installation ==
== Installation ==
== Anwendungen ==
== Anwendungen ==

Version vom 26. Februar 2023, 12:15 Uhr

topic - Kurzbeschreibung

Beschreibung

fail2ban

Option Beschreibung
Hersteller Cyril Jaquier, Arturo 'Buanzo' Busleiman
Version 0.9.5
AktuelleVersionFreigabeDatum 15. Juli 2016
Vorabversion 0.10.0
Betriebssystem Linux/POSIXe mit Firewall
Programmiersprache Python
Kategorie Intrusion Prevention System
Lizenz GPL Version 2 (freie Software)
Website www.fail2ban.org

Installation

Anwendungen

Fehlerbehebung

Syntax

Optionen

Parameter

Umgebungsvariablen

Exit-Status

Konfiguration

Dateien

Sicherheit

Siehe auch

Dokumentation

RFC

Man-Pages

Info-Pages

Links

Einzelnachweise

Projekt

Weblinks

Testfragen

Testfrage 1

Antwort1

Testfrage 2

Antwort2

Testfrage 3

Antwort3

Testfrage 4

Antwort4

Testfrage 5

Antwort5


TMP

Funktionalität

IP-Adressen blockieren
  • die wahrscheinlich zu Angreifern gehören
    • die sich Zugang zum System verschaffen wollen
fail2ban ermittelt aus Log-Dateien
  • (u. a. /var/log/pwdfail, /var/log/auth.log oder /var/log/apache2/error.log) IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.[1] Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).[2] Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen.

Aktionen

Fail2ban ist in der Lage, verschiedene Aktionen auszuführen
  • wenn eine wahrscheinlich bösartige IP entdeckt wurde, beispielsweise diese IP mit einer Regel in iptables oder der zu TCP-Wrappern gehörenden hosts.deny zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann.[3]
Standardfilter
Filter werden durch reguläre Ausdrücke definiert
  • die vom Administrator gut angepasst werden können
Jails
  • Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet[4] und ist in der Lage, bösartige Hosts zu blockieren.[5] Ein „jail“ kann für jede Software erstellt werden, die Logdateien erstellt, welche sich mit Regulären Ausdrücken auswerten lassen.
  • Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert.[6]
  1. Features – Fail2ban
  2. MANUAL 0 8 – Fail2ban
  3. Using fail2ban to Block Brute Force Attacks | MDLog:/sysadmin
  4. Vorlage:Webarchiv
  5. Some users do not see an alternative solution at present: SLAC Computer Security of Stanford simply states in their recommendations, "Use fail2ban to block ssh and Apache dictionary attacks"
  6. Vorlage:Webarchiv