Difference between revisions of "Fail2ban"
| Line 1: | Line 1: | ||
Fail2ban scant log files en bant adressen die verdachte kenmerken vertonen (bijvoorbeeld: Teveel foute inlog pogingen, zoeken naar exploits , etc). Fail2ban update de firewall regels vervolgens om het verdachte IP adres te weigeren voor een bepaalde tijds periode. Fail2ban vermindert de hoeveelheid incorrecte authenticatie pogingen, maar voorkomt niet het risico van slecht geïmplementeerde authenticatie mechanismes. | Fail2ban scant log files en bant adressen die verdachte kenmerken vertonen (bijvoorbeeld: Teveel foute inlog pogingen, zoeken naar exploits , etc). Fail2ban update de firewall regels vervolgens om het verdachte IP adres te weigeren voor een bepaalde tijds periode. Fail2ban vermindert de hoeveelheid incorrecte authenticatie pogingen, maar voorkomt niet het risico van slecht geïmplementeerde authenticatie mechanismes. | ||
| − | Fail2ban draait op vm-sysop en is te vinden onder /etc/fail2ban. De standaard configuratie en regels van fail2ban staan in jail.conf en aanpassingen die wij zelf hebben gemaakt staan in jail.local. De aanpassingen in jail.local overschrijven de standaard regels in jail.conf. Als je een aanpassing maakt moet je dit dus in jail.local doen. Een voorbeeld van een regel in jail.local is: | + | Fail2ban draait op vm-sysop en is te vinden onder /etc/fail2ban. Met het command: /etc/init.d/fail2ban status kun je de status van fail2ban checken. De standaard configuratie en regels van fail2ban staan in jail.conf en aanpassingen die wij zelf hebben gemaakt staan in jail.local. De aanpassingen in jail.local overschrijven de standaard regels in jail.conf. Als je een aanpassing maakt moet je dit dus in jail.local doen. Een voorbeeld van een regel in jail.local is: |
| + | <nowiki> | ||
[ssh-aes] // Naam van de service | [ssh-aes] // Naam van de service | ||
enabled = true // Deze service wordt gemonitoord door fail2ban | enabled = true // Deze service wordt gemonitoord door fail2ban | ||
| Line 10: | Line 11: | ||
logpath = /var/log/secure // De log file die gescant wordt door de filter | logpath = /var/log/secure // De log file die gescant wordt door de filter | ||
maxretry = 5 // Het aantal keer dat de filter het patroon mag tegen komen voordat de ban actie wordt uitgevoerd | maxretry = 5 // Het aantal keer dat de filter het patroon mag tegen komen voordat de ban actie wordt uitgevoerd | ||
| − | + | </nowiki> | |
Revision as of 01:05, 29 November 2016
Fail2ban scant log files en bant adressen die verdachte kenmerken vertonen (bijvoorbeeld: Teveel foute inlog pogingen, zoeken naar exploits , etc). Fail2ban update de firewall regels vervolgens om het verdachte IP adres te weigeren voor een bepaalde tijds periode. Fail2ban vermindert de hoeveelheid incorrecte authenticatie pogingen, maar voorkomt niet het risico van slecht geïmplementeerde authenticatie mechanismes.
Fail2ban draait op vm-sysop en is te vinden onder /etc/fail2ban. Met het command: /etc/init.d/fail2ban status kun je de status van fail2ban checken. De standaard configuratie en regels van fail2ban staan in jail.conf en aanpassingen die wij zelf hebben gemaakt staan in jail.local. De aanpassingen in jail.local overschrijven de standaard regels in jail.conf. Als je een aanpassing maakt moet je dit dus in jail.local doen. Een voorbeeld van een regel in jail.local is:
[ssh-aes] // Naam van de service
enabled = true // Deze service wordt gemonitoord door fail2ban
filter = sshd // De filter die de logs scant op een patroon (in de map filter.d)
action = a-eskwadraat // De actie die wordt uitgevoerd als de filter true returnt (in de map action.d)
logpath = /var/log/secure // De log file die gescant wordt door de filter
maxretry = 5 // Het aantal keer dat de filter het patroon mag tegen komen voordat de ban actie wordt uitgevoerd
In de map filter.d staan de filters voor services. Wanneer er in een log file een bepaald patroon voorkomt dat de reguliere expressie matcht wordt dit gezien als een foute log-in poging.
In de map action.d staan acties die uitgevoerd worden op gedefineerde momenten. Actions zijn bijvoorbeeld het bannen en unbannen van een ip adres.
STILL IN PROGRESS -------------------------
