Fail2ban ist eine Software welche Log-Dateien nach Fehlerhaften Login versuchen durchsucht. Mithilfe diesem kleinen aber nützlichen Programms ist es möglich, Angriffe abzuwehren. In der Konfiguration lässt sich die Zeit der Blockade einstellen, sowie welche Log-Dateien untersucht werden sollen. Von SSH über FTP bis hin zu Apache lässt sich anhand der vordefinierten Regeln einiges einstellen. Wer zusätzlich noch Individuelle Regeln benötigt, kann Problemlos und ohne Großen Aufwand neue erstellen.
Wer Courier Installiert hat, und gerne diesen Zugang vor Attacken schützen möchte, kann die folgende Zeilen in seine jail.conf übernehmen.
[courierpop3]
enabled = true
port = pop3
filter = courierlogin
action = iptables[name=%(__name__)s, port=%(port)s]
logpath = /var/log/mail
maxretry = 3
[courierimap]
enabled = true
port = imap2
filter = courierlogin
action = iptables[name=%(__name__)s, port=%(port)s]
logpath = /var/log/mail
maxretry = 3
Ich habe dieses Programm getestet, muss jedoch dazu sagen dass dies einige Tage zum testen benötigt. Die ersten Ergebnisse waren zufriedenstellend.
Das schönste an diesem Programm ist der eMail-Versand. Sobald eine IP geblockt wurde wird mir dies Automatisch in form einer Mail mitgeteilt.
In der eMail enthalten sind folgende Daten.
Betroffener Dienst, IP, Anzahl durchgekommener Angriffe und Zeitpunkt der Sperrung.
Die Installation, Konfiguration und Nutzung ist recht einfach.
Eine Installationsanleitung kann man hier finden.
Die Entwickler-Webseite: www.fail2ban.org
Download: http://sourceforge.net/projects/fail2ban
fail2ban software log-dateien fehlerhaften login versuchen durchsucht mithilfe diesem kleinen aber nützlichen programms möglich angriffe abzuwehren konfiguration lässt blockade einstellen untersucht ssh ftp hin apache anhand vordefinierten regeln einiges zusätzlich individuelle benötigt problemlos ohne großen aufwand erstellen wer courier installiert gerne diesen zugang attacken schützen folgende zeilen jail conf übernehmen [courierpop3] enabled true port pop3 filter courierlogin action iptables[name=%(__name__)s port=%(port)s] logpath /var/log/mail maxretry 3 [courierimap] enabled imap2 filter 3 ich programm getestet dazu sagen tage testen ersten ergebnisse zufriedenstellend das schönste email-versand sobald geblockt mir automatisch form mail mitgeteilt in email enthalten daten betroffener dienst anzahl durchgekommener zeitpunkt sperrung die installation nutzung recht einfach eine installationsanleitung finden entwickler-webseite: www org download: http://sourceforge net/projects/fail2ban fail2ban software log-dateien fehlerhaften login versuchen durchsucht mithilfe diesem kleinen aber nützlichen programms möglich angriffe abzuwehren konfiguration lässt blockade einstellen untersucht ssh ftp hin apache anhand vordefinierten regeln einiges zusätzlich individuelle benötigt problemlos ohne großen aufwand erstellen wer courier installiert gerne diesen zugang attacken schützen folgende zeilen jail conf übernehmen [courierpop3] enabled true port pop3 filter courierlogin action iptables[name=%(__name__)s port=%(port)s] logpath /var/log/mail maxretry 3 [courierimap] enabled imap2 filter 3 ich programm getestet dazu sagen tage testen ersten ergebnisse zufriedenstellend das schönste email-versand sobald geblockt mir automatisch form mail mitgeteilt in email enthalten daten betroffener dienst anzahl durchgekommener zeitpunkt sperrung die installation nutzung recht einfach eine installationsanleitung finden entwickler-webseite: www org download: http://sourceforge net/projects/fail2ban fail2ban software log-dateien fehlerhaften login versuchen durchsucht mithilfe diesem kleinen aber nützlichen programms möglich angriffe abzuwehren konfiguration lässt blockade einstellen untersucht ssh ftp hin apache anhand vordefinierten regeln einiges zusätzlich individuelle benötigt problemlos ohne großen aufwand erstellen wer courier installiert gerne diesen zugang attacken schützen folgende zeilen jail conf übernehmen [courierpop3] enabled true port pop3 filter courierlogin action iptables[name=%(__name__)s port=%(port)s] logpath /var/log/mail maxretry 3 [courierimap] enabled imap2 filter 3 ich programm getestet dazu sagen tage testen ersten ergebnisse zufriedenstellend das schönste email-versand sobald geblockt mir automatisch form mail mitgeteilt in email enthalten daten betroffener dienst anzahl durchgekommener zeitpunkt sperrung die installation nutzung recht einfach eine installationsanleitung finden entwickler-webseite: www org download: http://sourceforge net/projects/fail2ban fail2ban software log-dateien fehlerhaften login versuchen durchsucht mithilfe diesem kleinen aber nützlichen programms möglich angriffe abzuwehren konfiguration lässt blockade einstellen untersucht ssh ftp hin apache anhand vordefinierten regeln einiges zusätzlich individuelle benötigt problemlos ohne großen aufwand erstellen wer courier installiert gerne diesen zugang attacken schützen folgende zeilen jail conf übernehmen [courierpop3] enabled true port pop3 filter courierlogin action iptables[name=%(__name__)s port=%(port)s] logpath /var/log/mail maxretry 3 [courierimap] enabled imap2 filter 3 ich programm getestet dazu sagen tage testen ersten ergebnisse zufriedenstellend das schönste email-versand sobald geblockt mir automatisch form mail mitgeteilt in email enthalten daten betroffener dienst anzahl durchgekommener zeitpunkt sperrung die installation nutzung recht einfach eine installationsanleitung finden entwickler-webseite: www org download: http://sourceforge net/projects/fail2ban
Der Beitrag wurde am Mittwoch, den 7. November 2007 um 02:14 Uhr veröffentlicht und wurde unter Linux / Server, Tutorials abgelegt. du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.
Am 6. Juli 2008 um 13:02 Uhr
Ist Fail2ban nicht fast genauso wie mod_security? Wo ist zwischen den beiden Programmen eigentlich der genaue Unterschied und kann man auch beide Programme gleichzeitig einsetzen?
Am 6. Juli 2008 um 14:56 Uhr
mod_security ist meines Wissens nur für Apache, währned Fail2Ban andere, Dienste gleich mit Abdeckt.
Neben FTP auch die POP und SMTP ports, SSH, MYSQL usw.
Ich Denke, hatte mod_security jedoch noch nicht in Einsatz, dass man Bedenkenlos beide einsetzen kann. Es wäre jedoch Empfehlenswert Fail2Ban die Apache Log-Files Ignorieren zu lassen, da es in meinen Augen wenig Sinn macht, 2 Programme einen und den selben Dienst überwachen zu lassen.