Fail2ban

Linux.fista
Versio hetkellä 9. helmikuuta 2011 kello 15.50 – tehnyt 195.255.174.10 (keskustelu) (sulut on pahasta :))
Siirry navigaatioon Siirry hakuun

Fail2ban on tietoturvaohjelma, jonka avulla on mahdollista suojautua ns. brute force -hyökkäyksiä vastaan, jossa hyökkääjä yrittää murtautua kohteeseen kokeilemalla suurta määrää eri käyttäjätunnuksia ja salasanoja. Yleensä Fail2bannia käytetään suojaamaan SSH-palvelinta, mutta se voi suojata myös mm. sähköpostipalvelinta.

Asennus

Fail2ban löytyy useimpien jakeluiden paketinhallinnasta. Lähdekoodipaketin voi ladata ohjelman kotisivulta.

Käyttöönotto

Ohjelman asetuksia muokataan muokkaamalla tiedostoa /etc/fail2ban/jail.conf. Tiedostossa on eri ohjelmille ja protokollille valmiit osiot, jotka alkavat rivillä [protokolla], esim. [ssh]. Kyseinen suojaus on käytössä, jos kyseisessä osiossa on rivi

enabled = true

ja poissa käytöstä, jos kyseinen rivi on muotoa

enabled = false

Jos SSH (tai esimerkiksi proftpd, mitä nyt halutaankin suojata) käyttää lokitiedostonaan jotain jotain muuta kuin oletuksena logpath-asetuksella määritettyä tiedostoa, on oikea tiedosto kirjoitettava asetustiedostoon. Fail2ban tarkkailee murtautumisyrityksiä nimenomaan ohjelmien lokitiedostoista.

maxretry-asetuksella voidaan asettaa suurin sallittu määrä virheellisiä kirjautumisyrityksiä, joiden jälkeen yhteyksiä kyseiseltä koneelta ei enää hyväksytä. Se, kuinka kauan yhteydet kyseiseltä koneelta säilyvät estettyinä määritetään tiedoston alussa olevasta [DEFAULT]-osiosta löytyvällä bantime-asetuksella. Tiedostosta löytyy myös muita asetuksia, joiden toimintaa on kuvattu kommenteilla (#:llä alkavat rivit).

Lopuksi fail2ban käynnistetään komennolla

/etc/init.d/fail2ban start

Ohjelman toimia voi seurata sen lokista tiedostosta /var/log/fail2ban.log ja tällä hetkellä voimassa olevat rajoitukset voi listata iptablesilla:

iptables --list | grep fail2ban

Katso myös