WikiDer > Fail2ban
Оригинальный автор (ы) | Сирил Жакье |
---|---|
Разработчики) | Сирил Жакьер, Ярослав Хальченко, Дэниел Блэк, Стивен Хискокс, Артуро 'Buanzo' Буслейман и сообщество Fail2Ban |
изначальный выпуск | 2004 |
Стабильный выпуск | 0.11.1 / 11 января 2020 г.[1] |
Репозиторий | |
Операционная система | Unix-подобный |
Доступно в | Python |
Тип | Предотвращение вторжений |
Лицензия | GPLv2+ |
Интернет сайт | www |
Fail2Ban является программное обеспечение для предотвращения вторжений фреймворк, который защищает компьютерные серверы от атаки методом перебора.[2][3] Написано в Python язык программирования, он может работать на POSIX системы, которые имеют интерфейс с системой управления пакетами или брандмауэром, установленным локально, например, iptables или же TCP-оболочка.[4]
Функциональность
Fail2Ban работает путем мониторинга лог-файлы (например. /var/log/auth.log, /var/log/apache/access.logи т.д.) для выбранных записей и запуска скриптов на их основе.[5] Чаще всего это используется для блокировки выбранных IP-адреса что может принадлежать хозяева которые пытаются взломать систему безопасности. Он может заблокировать любой IP-адрес хоста, который делает слишком много попыток входа в систему или выполняет любые другие нежелательные действия в течение периода времени, определенного администратором. Включает поддержку как IPv4, так и IPv6.[6][7] При желании можно настроить более длительные запреты для «рецидивистов», которые продолжают возвращаться.[3] Fail2Ban обычно настраивается для разблокировки заблокированного хоста в течение определенного периода, чтобы не «блокировать» любые подлинные соединения, которые могли быть временно неправильно настроены. Однако времени разблокировки в несколько минут обычно достаточно, чтобы сетевое соединение прервалось. затоплен вредоносными подключениями, а также снижая вероятность успешного словарная атака.
Fail2Ban может выполнять несколько действий при обнаружении неправомерного IP-адреса:[8] Обновить Netfilter / iptables или же ПФ правила брандмауэра, TCP-оболочкас hosts.deny таблица, чтобы отклонить IP-адрес обидчика; Уведомления по электронной почте; или любое определяемое пользователем действие, которое может быть выполнено сценарием Python.
Стандартная конфигурация поставляется с фильтрами для Apache, Lighttpd, sshd, vsftpd, qmail, Постфикс и Курьерский почтовый сервер.[9][10] Фильтры определяются Python регулярные выражения, который может быть удобно настроен администратором, знакомым с регулярными выражениями.[3] Комбинация фильтра и действия, известная как «тюрьма», заставляет злоумышленник заблокировать доступ к определенным сетевым службам.[3] Помимо примеров, распространяемых с программным обеспечением, «тюрьма» может быть создана для любого сетевого процесса, который создает файл журнала доступа.[11]
Fail2Ban похож на DenyHosts [...] но в отличие от DenyHosts, который ориентирован на SSH, Fail2Ban можно настроить для мониторинга любой службы, которая записывает попытки входа в систему в файл журнала, и вместо использования /etc/hosts.deny только для блокировки IP-адресов / хостов, Fail2Ban может использовать Netfilter / iptables и TCP Wrappers /etc/hosts.deny.
— Фалько Тимме[12]
Недостатки
- Fail2Ban не может защитить от распределенной атаки методом перебора.
- Нет взаимодействия с конкретным приложением API/ AGIs.
Смотрите также
- IPBan, средство защиты от вторжений на основе журнала для Windows
- DenyHosts, инструмент безопасности для предотвращения вторжений на основе журнала
- Частокол, подход с ограничением скорости для предотвращения спама.
- OSSEC, система обнаружения вторжений на основе хоста с открытым исходным кодом.
Рекомендации
- ^ «Релизы · fail2ban». 10 сентября 2019 г. - через GitHub.
- ^ serverwatch.com (15 августа 2006 г.). «Совет по торговле: Fail2Ban».
- ^ а б c d Бледсо, Грег (2016-01-14). "Повышение безопасности серверов | Журнал Linux". Linux журнал. Получено 2018-09-22.
- ^ Джордан, Джефф (16.06.2015). «Как защитить свой компьютер GNU / Linux от удаленных атак с помощью Fail2ban». Журнал свободного программного обеспечения. Получено 2018-09-22.
- ^ Ван Импе, Коэн (9 декабря 2015 г.). «Защита от DDoS-атак на веб-сервер Apache». IBMразведка безопасности. Получено 2018-09-22.
- ^ Г. Брестер, Сергей (09.08.2017). «0.10.0 (2017.08.09) - долгожданная 0.10 версия». GitHub. Получено 2018-09-22.
- ^ Александерсен, Даниэль (2016-05-31). «Поддержка IPv6 наконец-то появится в Fail2Ban 0.10». Ctrl блог. Получено 2018-09-22.
- ^ ducea.com (03.07.2006). «Использование Fail2Ban для блокирования атак методом грубой силы».
- ^ fail2ban.org. «Особенности - Fail2Ban».
- ^ Уоллен, Джек (23 декабря 2016 г.). «Как защитить безопасную оболочку на CentOS 7 с помощью Fail2ban». TechRepublic. Получено 2018-09-22.
- ^ Кейси, Брэд (2016-02-17). «Три инструмента безопасности сервера, о которых вы могли не знать». TechTarget. Получено 2018-09-22.
- ^ Тимме, Фалько (2007-10-08). «Предотвращение атак грубой силы с помощью Fail2Ban в OpenSUSE 10.3». Получено 2007-11-14.