Fail2Ban: Birden fazla kimlik doğrulama hatasına neden olan ana bilgisayarları yasaklayın

   Mayıs 24, 2024  Posted in HelpnetSecurity


Fail2Ban, günlük dosyalarını izleyen açık kaynaklı bir araçtır. /var/log/auth.logve tekrarlanan başarısız oturum açma denemeleri sergileyen IP adreslerini engeller. Bunu, yapılandırılabilir bir süre boyunca bu IP adreslerinden gelen yeni bağlantıları reddedecek şekilde sistem güvenlik duvarı kurallarını güncelleyerek yapar.

ana bilgisayarları yasakla

Fail2Ban özellikleri

“Fail2Ban çok yönlü ve etkili bir araçtır. Minimum yapılandırmayla topluluk odaklı filtreler kullanarak yaygın saldırıları engelleyebilir. Ayrıca, uygulamanın veya sisteme özel saldırı vektörlerinin tespit edilmesi ve engellenmesi gibi belirli idari ihtiyaçları karşılamak için karmaşık bir IDS/IPS sistemi olarak da hizmet verebilir.” Fail2Ban’ın geliştiricisi Sergey Brester, Help Net Security’ye söyledi.

Ana özellikler şunlardır:

  • Günlük dosyasını ve sistem günlüğünü izleme (ve Python’da yazılan özel arka uçlarla diğer kaynaklardan gelen hataları tespit edebilir)
  • Tamamen yapılandırılabilir regexp’ler, günlük veya günlükten bilgi yakalamaya ve bunu eyleme sağlamaya olanak tanır; böylece yalnızca IP’leri değil aynı zamanda kullanıcıları, oturumları veya bunların bir kombinasyonunu da yasaklamak mümkündür.
  • Kademeli yasaklama
  • IPv6 desteği
  • Dinamik yapılandırma, bakımcılar ve kullanıcılar için dağıtımla ilgili yapılandırma dosyalarının basit bir şekilde oluşturulmasına olanak tanır. Örneğin, ince ayar için mod gibi parametrelerin kullanılması (örn. yalnızca kimlik doğrulama hatalarını tespit etme veya herhangi bir girişimde daha agresif bir şekilde yasaklama)

Gelecek planları ve indirme

Brester bize gelecekteki kalkınma önceliklerinin şunları içerdiğini söyledi:

  • Alt ağlar için tam destek (aynı alt ağın IP’lerinden birden fazla girişimde bulunulması durumunda, yapılandırılabilir patlama ve eşik ile bir alt ağı otomatik olarak yasaklama)
  • Arızaların coğrafi ve whois tabanlı faktörlere ayrılması (örneğin, bazı ülkelerin IP’leri daha hızlı ve daha uzun süre yasaklanabilir, daha büyük alt ağlarla birleştirilebilir, vb.)
  • Fail2Ban ağı (tüm ağı korumak için ana bilgisayarlardaki girişimler ve yasaklar gibi olayların senkronizasyonu)
  • Toplu yasaklama mekanizmalarının getirilmesiyle yasaklamanın hızlandırılması
  • Konteynerlerin daha iyi desteklenmesi (Docker, Kubernetes vb.)

Fail2Ban GitHub’da ücretsiz olarak mevcuttur.

Okumalısınız:



Source link