Автор (ы) оригинала | Сирил Жакье |
---|---|
Разработчики) | Сирил Жакьер, Ярослав Хальченко, Дэниел Блэк, Стивен Хискокс, Артуро 'Buanzo' Буслейман и сообщество Fail2Ban |
изначальный выпуск | 2004 |
Стабильный выпуск | 0.11.1 / 11 января 2020 г . [1] |
Репозиторий | |
Операционная система | Unix-подобный |
Доступно в | Python |
Тип | Предотвращение вторжений |
Лицензия | GPLv 2+ |
Интернет сайт | www |
Fail2Ban - это программная среда для предотвращения вторжений, которая защищает компьютерные серверы от атак методом грубой силы . [2] [3] Написанный на языке программирования Python , он может работать в системах POSIX , которые имеют интерфейс с системой управления пакетами или брандмауэром, установленным локально, например, iptables или TCP Wrapper . [4]
Функциональность [ править ]
Fail2Ban работает путем мониторинга файлов журнала (например, /var/log/auth.log , /var/log/apache/access.log и т. Д.) Для выбранных записей и запуска сценариев на их основе. [5] Чаще всего это используется для блокировки выбранных IP-адресов, которые могут принадлежать хостам , которые пытаются нарушить безопасность системы. Он может заблокировать любой IP-адрес хоста, который делает слишком много попыток входа в систему или выполняет любые другие нежелательные действия в течение периода времени, определенного администратором. Включает поддержку как IPv4, так и IPv6. [6] [7] При желании можно настроить более длительные запреты для «рецидивистов», которые продолжают возвращаться. [3]Fail2Ban обычно настраивается для разблокировки заблокированного хоста в течение определенного периода, чтобы не «блокировать» любые подлинные соединения, которые могли быть временно неправильно настроены. Однако времени разблокировки в несколько минут обычно достаточно, чтобы остановить наводнение сетевого подключения вредоносными подключениями, а также снизить вероятность успешной атаки по словарю .
Fail2ban может выполнять несколько действий при обнаружении оскорбительного IP адрес: [8] обновление Netfilter / Iptables или PF правила брандмауэра, TCP Wrapper «s hosts.deny стола, чтобы отклонять IP - адрес злоумышленника в; Уведомления по электронной почте; или любое определяемое пользователем действие, которое может быть выполнено сценарием Python.
Стандартная конфигурация поставляется с фильтрами для Apache , Lighttpd , sshd , vsftpd , qmail , Postfix и Courier Mail Server . [9] [10] Фильтры определяются регулярными выражениями Python , которые могут быть легко настроены администратором, знакомым с регулярными выражениями. [3] Комбинация фильтра и действия, известная как «тюрьма», блокирует доступ злонамеренного хоста к указанным сетевым службам. [3]Помимо примеров, которые распространяются с программным обеспечением, «тюрьма» может быть создана для любого сетевого процесса, который создает файл журнала доступа. [11]
Fail2Ban похож на DenyHosts [...], но в отличие от DenyHosts, который ориентирован на SSH, Fail2Ban можно настроить для мониторинга любой службы, которая записывает попытки входа в систему в файл журнала, и вместо использования /etc/hosts.deny только для блокировки IP-адресов / hosts, Fail2Ban может использовать Netfilter / iptables и TCP Wrappers /etc/hosts.deny .
- Фалько Тимме [12]
Недостатки [ править ]
- Fail2Ban не может защитить от распределенной атаки методом перебора.
- Нет взаимодействия с API / AGI для конкретных приложений.
См. Также [ править ]
- IPBan , средство защиты от вторжений на основе журналов для Windows
- DenyHosts , инструмент безопасности для предотвращения вторжений на основе журналов
- Stockade , подход с ограничением скорости для предотвращения спама.
- OSSEC , хост-система обнаружения вторжений с открытым исходным кодом.
Ссылки [ править ]
- ^ "Релизы · fail2ban" . 10 сентября 2019 г. - через GitHub.
- ^ serverwatch.com (15 августа 2006 г.). «Совет по торговле: Fail2Ban» .
- ^ a b c d Бледсо, Грег (2016-01-14). «Защита серверов | Linux Journal» . Linux Journal . Проверено 22 сентября 2018 .
- ^ Джордан, Джефф (2015-06-16). «Как защитить свой компьютер GNU / Linux от удаленных атак с помощью Fail2ban» . Журнал свободного программного обеспечения . Проверено 22 сентября 2018 .
- ^ Ван Имп, Koen (2015-12-09). «Защита от DDoS-атак на веб-сервер Apache» . IBM Security Intelligence . Проверено 22 сентября 2018 .
- ^ Г. Брестер, Сергей (2017-08-09). «0.10.0 (2017/08/09) - долгожданная 0.10 версия» . GitHub . Проверено 22 сентября 2018 .
- ^ Александерсен, Даниэль (2016-05-31). «В Fail2Ban 0.10 наконец-то появилась поддержка IPv6» . Ctrl блог . Проверено 22 сентября 2018 .
- ^ ducea.com (2006-07-03). «Использование Fail2Ban для блокировки атак грубой силы» .
- ^ fail2ban.org. «Особенности - Fail2Ban» .
- ^ Уоллен, Джек (2016-12-23). «Как защитить безопасную оболочку на CentOS 7 с помощью Fail2ban» . TechRepublic . Проверено 22 сентября 2018 .
- ^ Кейси, Брэд (2016-02-17). «Три инструмента безопасности сервера, о которых вы могли не знать» . TechTarget . Проверено 22 сентября 2018 .
- ^ Timme, Фалько (2007-10-08). «Предотвращение атак грубой силы с помощью Fail2Ban в OpenSUSE 10.3» . Проверено 14 ноября 2007 .
Внешние ссылки [ править ]
- Официальный веб-сайт
- Результаты конкурса популярности Debian для fail2ban