Fail2ban: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| Zeile 23: | Zeile 23: | ||
* /var/log/apache2/error.log | * /var/log/apache2/error.log | ||
IP-Adressen | IP-Adressen | ||
Normalerweise ist fail2ban so konfiguriert | * die in einem vom Administrator angesetzten Zeitrahmen | ||
* beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden | |||
* oder andere gefährliche | |||
* oder sinnlose Aktionen ausführen | |||
Normalerweise ist fail2ban so konfiguriert | |||
* dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt | |||
* um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird). | |||
* Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force|Brute Force]]) zu stoppen | |||
=== Aktionen === | === Aktionen === | ||
| Zeile 33: | Zeile 42: | ||
=== Filter === | === Filter === | ||
; Werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert | ; Werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert | ||
* die | * die gut angepasst werden können | ||
; Standardfilter | ; Standardfilter | ||
| Zeile 49: | Zeile 58: | ||
; Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt | ; Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt | ||
* welche sich mit | * welche sich mit regulären Ausdrücken auswerten lassen | ||
* Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert | * Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert | ||
<noinclude> | <noinclude> | ||
== Anhang == | == Anhang == | ||
=== Siehe auch === | === Siehe auch === | ||
Aktuelle Version vom 7. Januar 2026, 23:29 Uhr
fail2ban - Intrusion Prevention System
Beschreibung
Framework zur Vorbeugung gegen Einbrüche
- Betriebssysteme
- Programmiersprache
- Lizenz
Funktionsweise
- IP-Adressen blockieren
- die wahrscheinlich zu Angreifern gehören
- die sich Zugang zum System verschaffen wollen
- Log-File analyse
- /var/log/pwdfail
- /var/log/auth.log
- /var/log/apache2/error.log
IP-Adressen
- die in einem vom Administrator angesetzten Zeitrahmen
- beispielsweise öfter versuchen, sich mit falschen Passwörtern anzumelden
- oder andere gefährliche
- oder sinnlose Aktionen ausführen
Normalerweise ist fail2ban so konfiguriert
- dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt
- um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).
- Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen
Aktionen
- Wenn eine wahrscheinlich bösartige IP entdeckt wurde
- etwa diese IP mit einer Regel in iptables oder
- der zu TCP-Wrappern gehörenden
hosts.denyzu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann
Filter
- Werden durch reguläre Ausdrücke definiert
- die gut angepasst werden können
- Standardfilter
Jail
- Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet
- ist in der Lage, bösartige Hosts zu blockieren
- Eine "jail" kann für jede Software erstellt werden, die Logdateien erstellt
- welche sich mit regulären Ausdrücken auswerten lassen
- Beispielsweise existiert für das WordPress-Plugin "Antispam Bee" ein "jail", welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert