Русская Википедия:Fail2ban

Шаблон:Программа

Fail2Ban – программа для защиты серверов от атак методом грубой силы.^[1][2] Написанная на языке программирования Python, может работать на POSIX-системах имеющих встроенный менеджер пакетов и брандмауэр, например, iptables. ^[3]

Принцип работы

Fail2ban считывает логи (например, /var/log/apache2/error.log)^[4] и блокирует IP-адреса, активность которых является подозрительной(например, большое количество попыток войти с неправильно введенным паролем, выполнение опасных или бессмысленных действий и т.д.). В случае обнаружения подобных действий программа обновляет правила брандмауэра для блокировки такого IP-адреса на определенный промежуток времени. Программа может быть настроена и для выполнения другого действия (например, отправки электронного письма).

Конфигурация по умолчанию содержит фильтры для Apache, Lighttpd, sshd, vsftpd, qmail, Postfix, Courier Mail Server, Asterisk и других популярных серверных приложений. В фильтрах используются регулярные выражения, которые могут быть легко изменены и настроены в случае необходимости.

Настройка

Стандартные настройки программы находятся в файле /etc/fail2ban/jail.conf, изменять настройки рекомендуют в /etc/fail2ban/jail.local, который является копией jail.conf. Файл содержит раздел общих настроек [DEFAULT] и разделы специфических настроек для определенных сервисов (например, наличие раздела [ssh]).

[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 3600
findtime = 600
maxretry = 3
backend = auto
usedns = warn
banaction = iptables-multiport

[sshd]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

См. также

• Шаблон:Нп5 - средство защиты от вторжений на основе логов для Windows
• Шаблон:Нп5 - инструмент для предотвращения вторжений.
• Шаблон:Нп5 - инструмент нацеленный на предотвращение спама.
• OSSEC - система обнаружения вторжений с открытым исходным кодом.

Примечания

Шаблон:Нормативный контроль Шаблон:Изолированная статья