Fail2ban: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
{{DISPLAYTITLE:fail2ban}} | {{DISPLAYTITLE:fail2ban}} | ||
'''fail2ban''' - Intrusion Prevention System | '''fail2ban''' - Intrusion Prevention System | ||
== Beschreibung == | == Beschreibung == | ||
[[Datei:Fail2ban | [[Datei:Fail2ban logo.png|mini]] | ||
; Framework zur Vorbeugung gegen Einbrüche | ; Framework zur Vorbeugung gegen Einbrüche | ||
* [[Intrusion Prevention System]] | * [[Intrusion Prevention System]] | ||
* [[Portable Operating System Interface|POSIX]]-Betriebssysteme | * [[Portable Operating System Interface|POSIX]]-Betriebssysteme | ||
** mit manipulierbarem Paketfiltersystem/[[Firewall]] wie [[iptables]] | ** mit manipulierbarem Paketfiltersystem/[[Firewall]] wie [[iptables]] | ||
[[Datei:Fail2ban screenshot.jpg|mini]] | |||
{| class="wikitable sortable options" | {| class="wikitable sortable options" | ||
|- | |- | ||
Version vom 3. März 2023, 16:48 Uhr
fail2ban - Intrusion Prevention System
Beschreibung
- Framework zur Vorbeugung gegen Einbrüche
- Intrusion Prevention System
- POSIX-Betriebssysteme
| Beschreibung | |
|---|---|
| Hersteller | Cyril Jaquier, Arturo 'Buanzo' Busleiman |
| Version | 1.0.2 |
| Betriebssystem | Linux/POSIX mit Firewall |
| Programmiersprache | Python |
| Kategorie | Intrusion Prevention System |
| Lizenz | GPL Version 2 (freie Software) |
| Website | www.fail2ban.org |
Funktionsweise
- IP-Adressen blockieren
- die wahrscheinlich zu Angreifern gehören
- die sich Zugang zum System verschaffen wollen
- Log-File analyse
- /var/log/pwdfail
- /var/log/auth.log
- /var/log/apache2/error.log
IP-Adressen, die in einem vom Administrator angesetzten Zeitrahmen z. B. öfter versuchen, sich mit falschen Passwörtern anzumelden oder andere gefährliche oder sinnlose Aktionen ausführen.
[1] Normalerweise ist fail2ban so konfiguriert, dass es blockierte Adressen nach einer bestimmten Zeit wieder freigibt, um keine seriösen Verbindungsversuche zu blockieren (beispielsweise, wenn die Angreifer-IP dynamisch einem anderen Host zugeteilt wird).[2] Als hilfreich gilt eine Blockierzeit von einigen Minuten, um das Fluten des Servers mit bösartigen Verbindungsversuchen (Brute Force) zu stoppen.
Aktionen
- Wenn eine wahrscheinlich bösartige IP entdeckt wurde
- etwa diese IP mit einer Regel in iptables oder
- der zu TCP-Wrappern gehörenden
hosts.denyzu blockieren, um nachfolgende Angriffe zurückzuweisen, E-Mail-Benachrichtigungen oder jede benutzerdefinierte Aktion, die mit Python ausgeführt werden kann.[3]
Filter
- Werden durch reguläre Ausdrücke definiert
- die vom Administrator gut angepasst werden können
- Standardfilter
Jail
- Die Kombination aus Filter und Aktion wird als jail (Gefängnis) bezeichnet
- ist in der Lage, bösartige Hosts zu blockieren.
- Eine „jail“ kann für jede Software erstellt werden, die Logdateien erstellt
- welche sich mit Regulären Ausdrücken auswerten lassen
- Beispielsweise existiert für das WordPress-Plugin „Antispam Bee“ ein „jail“, welches Spam-Attacken bereits auf der Server-Ebene abwehrt und somit die Auslastung des Webservers und der Datenbank reduziert.[4]
Anwendungen
Fehlerbehebung
Syntax
Optionen
Parameter
Umgebungsvariablen
Exit-Status
Installation
# apt install fail2ban Paketlisten werden gelesen… Fertig Abhängigkeitsbaum wird aufgebaut… Fertig Statusinformationen werden eingelesen… Fertig Die folgenden zusätzlichen Pakete werden installiert: python3-systemd Vorgeschlagene Pakete: monit Die folgenden NEUEN Pakete werden installiert: fail2ban python3-systemd 0 aktualisiert, 2 neu installiert, 0 zu entfernen und 0 nicht aktualisiert. Es müssen 490 kB an Archiven heruntergeladen werden. Nach dieser Operation werden 2.395 kB Plattenplatz zusätzlich benutzt. Möchten Sie fortfahren? [J/n]
Konfiguration
Dateien
Sicherheit
Siehe auch
Dokumentation
RFC
Man-Pages
Info-Pages
Links
Einzelnachweise
Projekt
Weblinks
Testfragen
Testfrage 1
Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5