Br@superroot um 16:51, 21. Mai 2011

Br@superroot — Sat, 21 May 2011 16:51:29 GMT

← Nächstältere Version		Version vom 16:51, 21. Mai 2011
Zeile 8:		Zeile 8:

	Fail2ban kann gesperrte IP-Adressen auch nach einer Zeitspanne wieder freigeben - was sinnvoll ist um nicht durch dynamisch vergebene IP-Adressen ungewollt Dritte auszuspannen.		Fail2ban kann gesperrte IP-Adressen auch nach einer Zeitspanne wieder freigeben - was sinnvoll ist um nicht durch dynamisch vergebene IP-Adressen ungewollt Dritte auszuspannen.
		+
		+	= Einsatz =

	Fail2ban ist freie Software und steht unter der GPL2 - kann also frei und kostenfrei auf eingenen Systemen eingesetzt werden.<br>		Fail2ban ist freie Software und steht unter der GPL2 - kann also frei und kostenfrei auf eingenen Systemen eingesetzt werden.<br>
		+
		+	Portunity verwendet fail2ban auf eigenen und im Kundenauftrag gemanageten Systemen auf vielfältige Weise.

	= Installation =		= Installation =

Br@superroot: Die Seite wurde neu angelegt: „'''Fail2ban ist ein Sicherheits-Tool um potentielle Angriffe zu erkennen und abzuwehren - es arbeitet vorbeugend (Intrusion Prevention System)'''. Es läuft auf a…“

Br@superroot — Sat, 21 May 2011 16:50:28 GMT

Die Seite wurde neu angelegt: „'''Fail2ban ist ein Sicherheits-Tool um potentielle Angriffe zu erkennen und abzuwehren - es arbeitet vorbeugend (Intrusion Prevention System)'''. Es läuft auf a…“

Neue Seite

'''Fail2ban ist ein Sicherheits-Tool um potentielle Angriffe zu erkennen und abzuwehren - es arbeitet vorbeugend (Intrusion Prevention System)'''. Es läuft auf allen POSIX-kompatiblen Betriebssystemen mit einer offenen Firewall, also auch z.B. unter Linux (Debian, Suse, ...).

= Funktion =

Fail2ban stützt sich dabei auf '''bereits vorhandene Logdateien''' von Server-Diensten wie Webserver (z.B. von Apache /var/log/apache/error_log, von Lighttpd u.a.), eMail-Server (postfix, qmail u.a.). Es analysiert diese anhand von filternden Regeln und '''erkennt so Probleme''' '''wie mehrfach versuchte Falschlogins''' oder sonstige verdächtige Aktionen. Für einige Serverdienste wie Apache, Postfix usw. gibt es fertige Regeln - ansonsten lassen sich diese einfach und schnell an eigene Bedürfnisse auch anpassen.

Trifft eine Regel zu, d.h. ist ein potentieller Angreifer mit IP-Adresse identifiziert, können weitere Massnahmen eingeleitet werden. Neben einer '''Benachrichtigung '''an einen Administrator ist die am häufigsten eingesetzte Aktion die'''Sperrung der IP-Adresse''' (in den IP-Tables) für eine bestimmte und einstellbare Zeitspanne.

Fail2ban kann gesperrte IP-Adressen auch nach einer Zeitspanne wieder freigeben - was sinnvoll ist um nicht durch dynamisch vergebene IP-Adressen ungewollt Dritte auszuspannen.

Fail2ban ist freie Software und steht unter der GPL2 - kann also frei und kostenfrei auf eingenen Systemen eingesetzt werden. 

= Installation =

== Installation 0.84 - sid ! ==

*Bei Debian etch muss es manuell installiert werden, da Debian-Version zu alt ist
*Aktuelle Version ist: 0.84

 

*Download 0.8.4: http://downloads.sourceforge.net/project/fail2ban/fail2ban-stable/fail2ban-0.8.4/fail2ban-0.8.4.tar.bz2?use_mirror=freefr

 

<source lang="command">mkdir /root/soft/fail2ban/
cd /root/soft/fail2ban/
wget "http://downloads.sourceforge.net/project/fail2ban/fail2ban-stable/fail2ban-0.8.4/fail2ban-0.8.4.tar.bz2?use_mirror=freefr"
tar -xjvf fail2ban-0.8.4.tar.bz2
cd fail2ban-0.8.4

python setup.py install</source>

STARTSCRIPT von DEBIAN einkopieren ***-> Ist seit dem 11.09.08 im base-install enthalten!

<source lang="command">ln -s /etc/init.d/fail2ban /usr/sbin/pcfail2ba</source>

fertig :) Nun noch die Config-Datien anpassen, vorallem die

<source lang="command">vi /etc/fail2ban/jail.conf</source>

=== Weitere benötigte Module ===

<source lang="command">apt-get install whois</source> 

= Konfiguration =

== Filter ==

=== Testen von Filtern ===

*Testen vom erstellten Filter "postfix450.conf" gegen das mail.log

<source lang="text">fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/postfix450.conf</source> 

=== TAGS= ===

*fail2bann hat für die Filter "filter.d" diverse "<tags>", welche automatisch die entsprechende RegEx einfügen und die Werte dann in eine Variable kopieren, welche dann per Action "action.d" mit verschickt werden kann.
*Nutzbar in filder.d/*

<source lang="text"><HOST> = HostAdresse/HostName: "(?P<host>\S)" NEU 0.8.2: "(?:::f{4,6}:)?(?P<host>\S+)"</source>

 

 

 

[[Category:Server-Housing_(Tarif)]] [[Category:Hosting_Lexikon]] [[Category:Hosting]]

Fail2ban - Versionsgeschichte

Br@superroot um 16:51, 21. Mai 2011

Br@superroot: Die Seite wurde neu angelegt: „'''Fail2ban ist ein Sicherheits-Tool um potentielle Angriffe zu erkennen und abzuwehren - es arbeitet vorbeugend (Intrusion Prevention System)'''. Es läuft auf a…“