Fail2ban: Unterschied zwischen den Versionen
| Zeile 36: | Zeile 36: | ||
== Installation == | == Installation == | ||
== Funktionalität == | |||
; [[IP-Adresse]]n blockieren | |||
* die wahrscheinlich zu Angreifern gehören | |||
** die sich Zugang zum System verschaffen wollen | |||
; fail2ban ermittelt aus Log-Dateien | |||
* (u. a. <code>/var/log/pwdfail</code>, <code>/var/log/auth.log</code> oder <code>/var/log/apache2/error.log</code>) IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.<ref>[http://www.fail2ban.org/wiki/index.php/Features Features – Fail2ban]</ref> Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).<ref>[http://www.fail2ban.org/wiki/index.php/MANUAL_0_8 MANUAL 0 8 – Fail2ban]</ref> Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen ([[Brute-Force-Methode|Brute Force]]) zu stoppen. | |||
=== Aktionen === | |||
; Fail2ban ist in der Lage, verschiedene Aktionen auszuführen | |||
* wenn eine wahrscheinlich bösartige IP entdeckt wurde, beispielsweise diese IP mit einer Regel in ''iptables'' oder der zu TCP-Wrappern gehörenden <code>hosts.deny</code> zu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit [[Python (Programmiersprache)|Python]] ausgeführt werden kann.<ref>[http://www.ducea.com/2006/07/03/using-fail2ban-to-block-brute-force-attacks/ Using fail2ban to Block Brute Force Attacks | MDLog:/sysadmin]</ref> | |||
; Standardfilter | |||
* [[Apache HTTP Server|Apache]] | |||
* [[Lighttpd]] | |||
* [[OpenSSH|sshd]] | |||
* [[vsftpd]] | |||
* [[qmail]] | |||
* [[Postfix (Mail Transfer Agent)|Postfix]] | |||
* [[Courier Mail Server]] | |||
; Filter werden durch [[Regulärer Ausdruck|reguläre Ausdrücke]] definiert | |||
* die vom Administrator gut angepasst werden können | |||
; Jails | |||
* Die Kombination aus Filter und Aktion wird als ''jail'' (Gefängnis) bezeichnet<ref>{{Webarchiv |url=http://debaday.debian.net/2007/04/29/fail2ban-an-enemy-of-script-kiddies#jail |text=Debian Package of the Day >> Blog Archive >> Fail2ban: an enemy of script-kiddies |wayback=20080304160820}}</ref> und ist in der Lage, bösartige Hosts zu blockieren.<ref>Some users do not see an alternative solution at present: SLAC Computer Security of Stanford simply states in their recommendations, "''Use fail2ban to block ssh and Apache dictionary attacks''" {{Internetquelle |url=http://www2.slac.stanford.edu/computing/security/education/cyber-awareness-10-19-07.htm |titel=Cyber Security Awareness Month Day 19 – Linux Tips |hrsg=SLAC Computer Security |datum=2007-10-19 |sprache=en |archiv-url=https://web.archive.org/web/20091008025158/http://www2.slac.stanford.edu/computing/security/education/cyber-awareness-10-19-07.htm |archiv-datum=2009-10-08 |offline=1 |abruf=2008-01-15}}</ref> Ein „jail“ kann für jede Software erstellt werden, die Logdateien erstellt, welche sich mit Regulären Ausdrücken auswerten lassen. | |||
* Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des [[Webserver]]s und der Datenbank reduziert.<ref>{{Webarchiv |url=http://cup.wpcoder.de/fail2ban-ip-firewall/ |text=Sicherheit und Spam-Schutz: Fail2Ban installieren und einrichten |wayback=20130713084151 |archiv-bot= |webciteID=}}</ref> | |||
== Anwendungen == | == Anwendungen == | ||
=== Fehlerbehebung === | === Fehlerbehebung === | ||
== Syntax == | == Syntax == | ||
=== Optionen === | === Optionen === | ||
Version vom 26. Februar 2023, 12:16 Uhr
topic - Kurzbeschreibung
Beschreibung
fail2ban
- sinngemäß „Fehlschlag führt zum Bann“
- ist ein in Python geschriebenes Intrusion Prevention System
- Framework zur Vorbeugung gegen Einbrüche
- das auf allen POSIX-Betriebssystemen läuft
- die ein manipulierbares Paketfiltersystem oder eine Firewall besitzen (z. B. iptables unter Linux)
- Requirements – Fail2ban
| Option | Beschreibung |
|---|---|
| Hersteller | Cyril Jaquier, Arturo 'Buanzo' Busleiman |
| Version | 0.9.5 |
| AktuelleVersionFreigabeDatum | 15. Juli 2016 |
| Vorabversion | 0.10.0 |
| Betriebssystem | Linux/POSIXe mit Firewall |
| Programmiersprache | Python |
| Kategorie | Intrusion Prevention System |
| Lizenz | GPL Version 2 (freie Software) |
| Website | www.fail2ban.org |
Installation
Funktionalität
- IP-Adressen blockieren
- die wahrscheinlich zu Angreifern gehören
- die sich Zugang zum System verschaffen wollen
- fail2ban ermittelt aus Log-Dateien
- (u. a.
/var/log/pwdfail,/var/log/auth.logoder/var/log/apache2/error.log) IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.[1] Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).[2] Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen.
Aktionen
- Fail2ban ist in der Lage, verschiedene Aktionen auszuführen
- wenn eine wahrscheinlich bösartige IP entdeckt wurde, beispielsweise diese IP mit einer Regel in iptables oder der zu TCP-Wrappern gehörenden
hosts.denyzu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann.[3]
- Standardfilter
- Filter werden durch reguläre Ausdrücke definiert
- die vom Administrator gut angepasst werden können
- Jails
- Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet[4] und ist in der Lage, bösartige Hosts zu blockieren.[5] Ein „jail“ kann für jede Software erstellt werden, die Logdateien erstellt, welche sich mit Regulären Ausdrücken auswerten lassen.
- Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert.[6]
Anwendungen
Fehlerbehebung
Syntax
Optionen
Parameter
Umgebungsvariablen
Exit-Status
Konfiguration
Dateien
Sicherheit
Siehe auch
Dokumentation
RFC
Man-Pages
Info-Pages
Links
Einzelnachweise
- ↑ Features – Fail2ban
- ↑ MANUAL 0 8 – Fail2ban
- ↑ Using fail2ban to Block Brute Force Attacks | MDLog:/sysadmin
- ↑ Vorlage:Webarchiv
- ↑ Some users do not see an alternative solution at present: SLAC Computer Security of Stanford simply states in their recommendations, "Use fail2ban to block ssh and Apache dictionary attacks"
- ↑ Vorlage:Webarchiv
Projekt
Weblinks
Testfragen
Testfrage 1
Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5