Fail2ban
| Fail2ban | |
|---|---|
| Käyttöliittymä | teksti |
| Lisenssi | GPLv2+ |
| Kotisivu | www.fail2ban.org |
Fail2ban on tietoturvaohjelma, jonka avulla on mahdollista suojautua ns. brute force -hyökkäyksiä vastaan, jossa hyökkääjä yrittää murtautua kohteeseen kokeilemalla suurta määrää eri käyttäjätunnuksia ja salasanoja. Yleensä Fail2bannia käytetään suojaamaan SSH-palvelinta, mutta se voi suojata myös mm. sähköpostipalvelinta.
Asennus
Fail2ban löytyy useimpien jakeluiden paketinhallinnasta. Lähdekoodipaketin voi ladata ohjelman kotisivulta.
Käyttöönotto
Ohjelman asetuksia muokataan muokkaamalla tiedostoa /etc/fail2ban/jail.conf. Tiedostossa on eri ohjelmille ja protokollille valmiit osiot, jotka alkavat rivillä [protokolla], esim. [ssh]. Kyseinen suojaus on käytössä, jos kyseisessä osiossa on rivi
enabled = true
ja poissa käytöstä, jos kyseinen rivi on muotoa
enabled = false
Jos SSH (tai esimerkiksi proftpd, mitä nyt halutaankin suojata) käyttää lokitiedostonaan jotain jotain muuta kuin oletuksena logpath-asetuksella määritettyä tiedostoa, on oikea tiedosto kirjoitettava asetustiedostoon. Fail2ban tarkkailee murtautumisyrityksiä nimenomaan ohjelmien lokitiedostoista.
maxretry-asetuksella voidaan asettaa suurin sallittu määrä virheellisiä kirjautumisyrityksiä, joiden jälkeen yhteyksiä kyseiseltä koneelta ei enää hyväksytä. Se, kuinka kauan yhteydet kyseiseltä koneelta säilyvät estettyinä määritetään tiedoston alussa olevasta [DEFAULT]-osiosta löytyvällä bantime-asetuksella. Tiedostosta löytyy myös muita asetuksia, joiden toimintaa on kuvattu kommenteilla (#:llä alkavat rivit).
Lopuksi fail2ban käynnistetään komennolla
/etc/init.d/fail2ban start
Ohjelman toimia voi seurata sen lokista tiedostosta /var/log/fail2ban.log ja tällä hetkellä voimassa olevat rajoitukset voi listata iptablesilla:
iptables --list | grep fail2ban