Fail2ban

Aus Portunity Wiki

Wechseln zu: Navigation, Suche

Fail2ban ist ein Sicherheits-Tool um potentielle Angriffe zu erkennen und abzuwehren - es arbeitet vorbeugend (Intrusion Prevention System). Es läuft auf allen POSIX-kompatiblen Betriebssystemen mit einer offenen Firewall, also auch z.B. unter Linux (Debian, Suse, ...).

Inhaltsverzeichnis

Funktion

Fail2ban stützt sich dabei auf bereits vorhandene Logdateien von Server-Diensten wie Webserver (z.B. von Apache /var/log/apache/error_log, von Lighttpd u.a.), eMail-Server (postfix, qmail u.a.). Es analysiert diese anhand von filternden Regeln und erkennt so Probleme wie mehrfach versuchte Falschlogins oder sonstige verdächtige Aktionen. Für einige Serverdienste wie Apache, Postfix usw. gibt es fertige Regeln - ansonsten lassen sich diese einfach und schnell an eigene Bedürfnisse auch anpassen.

Trifft eine Regel zu, d.h. ist ein potentieller Angreifer mit IP-Adresse identifiziert, können weitere Massnahmen eingeleitet werden. Neben einer Benachrichtigung an einen Administrator ist die am häufigsten eingesetzte Aktion dieSperrung der IP-Adresse (in den IP-Tables) für eine bestimmte und einstellbare Zeitspanne.

Fail2ban kann gesperrte IP-Adressen auch nach einer Zeitspanne wieder freigeben - was sinnvoll ist um nicht durch dynamisch vergebene IP-Adressen ungewollt Dritte auszuspannen.

Einsatz

Fail2ban ist freie Software und steht unter der GPL2 - kann also frei und kostenfrei auf eingenen Systemen eingesetzt werden.

Portunity verwendet fail2ban auf eigenen und im Kundenauftrag gemanageten Systemen auf vielfältige Weise.

Installation

Installation 0.84 - sid !

  • Bei Debian etch muss es manuell installiert werden, da Debian-Version zu alt ist
  • Aktuelle Version ist: 0.84



mkdir /root/soft/fail2ban/
cd /root/soft/fail2ban/
wget "http://downloads.sourceforge.net/project/fail2ban/fail2ban-stable/fail2ban-0.8.4/fail2ban-0.8.4.tar.bz2?use_mirror=freefr"
tar -xjvf fail2ban-0.8.4.tar.bz2
cd fail2ban-0.8.4
 
python setup.py install

STARTSCRIPT von DEBIAN einkopieren ***-> Ist seit dem 11.09.08 im base-install enthalten!

ln -s /etc/init.d/fail2ban /usr/sbin/pcfail2ba

fertig :) Nun noch die Config-Datien anpassen, vorallem die

vi /etc/fail2ban/jail.conf

Weitere benötigte Module

apt-get install whois

Konfiguration

Filter

Testen von Filtern

  • Testen vom erstellten Filter "postfix450.conf" gegen das mail.log
fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/postfix450.conf

TAGS=

  • fail2bann hat für die Filter "filter.d" diverse "<tags>", welche automatisch die entsprechende RegEx einfügen und die Werte dann in eine Variable kopieren, welche dann per Action "action.d" mit verschickt werden kann.
  • Nutzbar in filder.d/*
<HOST> = HostAdresse/HostName: "(?P<host>\S)"  NEU 0.8.2: "(?:::f{4,6}:)?(?P<host>\S+)"




Persönliche Werkzeuge