Skip to content

fail2ban

Fail2ban is een beveiligingstool voor Linux-servers. Fail2ban scant opgegeven logbestanden op zoek naar malafide acties. Wanneer malafide acties worden aangetroffen, update fail2ban de firewall-regels om zo vervolgacties te blokkeren.

Fail2ban is opgebouwd uit drie hoofdcomponenten: jails, filters en actions:

Fail2ban componenten

Jails

Jails beschrijven de onderdelen van je systemen waarvan je logging wilt monitoren. Je kunt bijvoorbeeld een jail voor Apache access logs hebben, of één voor je Dovecot IMAP server. In een jail configureer je welke logbestanden geraadpleegd moeten worden en welke poort eventueel geblokkeerd moet worden wanneer er een overtreding wordt waargenomen.

De configuratie van jails vind je terug op een aantal locaties:

  • /etc/fail2ban/jail.conf - basisconfiguratie van fail2ban jails
  • /etc/fail2ban/jail.local - lokale configuratie van jails
  • /etc/fail2ban/jail.d/* - losse configuratiebestanden per jail

Filters

Filters bevatten de regels die worden toegepast op de logbestanden die je in je jail aangeeft. Filters bevatten patronen waarop gezocht wordt. Wanneer zo'n patroon gevonden wordt in het logbestand, dan wordt overgegaan tot een action.

Actions

Actions beschrijven de taken die uitgevoerd worden wanneer een malafide patroon is gedetecteerd. Meestal zul je hier commando's aantreffen die de misbruiker toevoegd aan een zwarte lijst in je firewall. Je vindt in ieder geval de volgende actions:

  • actionstart - bij het starten van de monitoring
  • actionstop - bij het stoppen van de monitoring
  • actionban - bij het uitvoeren van een blokkade
  • actionunban - bij het verwijderen van een blokkade

Installatie

Bij de meeste Linux-distributies is fail2ban beschikbaar via de package manager.

yum install fail2ban

Meer info

Meer informatie over fail2ban vind je op de officiële website en op GitHub: