Fail2Ban - detektor intruzów
Fail2Ban jest serwerem, który skanuje pliki logów w poszukiwaniu wpisów
dotyczących niepowodzeń logowań lub innych ataków i przeprowadza akcje
takie jak firewall lub blokowanie źródła ataków w inny sposób. Może być
użyty w celu zapobiegania ataków typu brute-force, które zgadują hasła
przez blokowanie ataków po kilku próbach.
Są trzy główne obiekty konfiguracyjne w Fail2Ban:
- Filtry logów
- Filtr w zasadzie jest wyrażeniem regularnym, które może być zastosowane na
plikach logów w celu zidentyfikowania błędnych logowań i innych ataków.
- Dopasowanie akcji
- Akcje to ustawienie poleceń, które będą uruchomione w celu blokowania ataku.
Akcją może być także polecenie do odblokowania IP i polecenia, które zostaną
uruchomione przy uruchamianiu i wyłączaniu Fail2Ban.
- Jail - akcje filtra
- Jail (więzienie) to kombinacja filtra , jednej lub większej ilości akcji i jednej
lub większej ilości plików loga. Log jest stale skanowany w poszukiwaniu linii,
które pasują do filtra i jeżeli zostanie znaleziony to stosowana jest wybrana
akcja