fail2ban
Fail2ban is een beveiligingstool voor Linux-servers. Fail2ban scant opgegeven logbestanden op zoek naar malafide acties. Wanneer malafide acties worden aangetroffen, update fail2ban de firewall-regels om zo vervolgacties te blokkeren.
Fail2ban is opgebouwd uit drie hoofdcomponenten: jails, filters en actions:
Jails
Jails beschrijven de onderdelen van je systemen waarvan je logging wilt monitoren. Je kunt bijvoorbeeld een jail voor Apache access logs hebben, of één voor je Dovecot IMAP server. In een jail configureer je welke logbestanden geraadpleegd moeten worden en welke poort eventueel geblokkeerd moet worden wanneer er een overtreding wordt waargenomen.
De configuratie van jails vind je terug op een aantal locaties:
/etc/fail2ban/jail.conf
- basisconfiguratie van fail2ban jails/etc/fail2ban/jail.local
- lokale configuratie van jails/etc/fail2ban/jail.d/*
- losse configuratiebestanden per jail
Filters
Filters bevatten de regels die worden toegepast op de logbestanden die je in je jail aangeeft. Filters bevatten patronen waarop gezocht wordt. Wanneer zo'n patroon gevonden wordt in het logbestand, dan wordt overgegaan tot een action.
Actions
Actions beschrijven de taken die uitgevoerd worden wanneer een malafide patroon is gedetecteerd. Meestal zul je hier commando's aantreffen die de misbruiker toevoegd aan een zwarte lijst in je firewall. Je vindt in ieder geval de volgende actions:
actionstart
- bij het starten van de monitoringactionstop
- bij het stoppen van de monitoringactionban
- bij het uitvoeren van een blokkadeactionunban
- bij het verwijderen van een blokkade
Installatie
Bij de meeste Linux-distributies is fail2ban beschikbaar via de package manager.
yum install fail2ban
Meer info
Meer informatie over fail2ban vind je op de officiële website en op GitHub:
- Officiële website: https://www.fail2ban.org/
- GitHub fail2ban: https://github.com/fail2ban/fail2ban