Fail2Ban: blocca gli host che causano più errori di autenticazione

Fail2Ban è uno strumento open source che monitora i file di registro, ad es /var/log/auth.loge blocca gli indirizzi IP che mostrano ripetuti tentativi di accesso non riusciti. Lo fa aggiornando le regole del firewall di sistema per negare nuove connessioni da questi indirizzi IP per un periodo di tempo configurabile.

Funzionalità di Fail2Ban

“Fail2Ban è uno strumento versatile e potente. Può prevenire attacchi comuni utilizzando filtri guidati dalla comunità con una configurazione minima. Inoltre, può fungere da sistema IDS/IPS complesso per esigenze di gestione specifiche, come il rilevamento e il blocco di applicazioni o applicazioni specifiche del sistema. vettori di attacco”.

Le caratteristiche principali sono:

• Monitora il file di registro e il journal systemd (e utilizzando backend personalizzati, scritti in Python, sarà in grado di rilevare errori da altre fonti)
• Le espressioni regolari completamente configurabili consentono di acquisire informazioni dal registro o dal diario e presentarle all'azione, quindi è possibile bloccare non solo indirizzi IP, ma anche utenti, sessioni o un gruppo di essi
• Divieto aumentato
• Supporto IPv6
• La configurazione dinamica consente di creare facilmente file di configurazione relativi alla distribuzione per amministratori e utenti. Ad esempio, utilizzando parametri come la modalità per la regolazione fine (ad esempio rilevando solo gli errori di autenticazione o bloccando in modo più aggressivo qualsiasi tentativo)

Piani futuri e download

Brister ci ha detto che le priorità di sviluppo futuro includono:

• Supporto completo della sottorete (blocca automaticamente una sottorete con burst e soglia configurabili se si verificano più tentativi da indirizzi IP alla stessa sottorete)
• Analisi dei guasti basata sulla geolocalizzazione e sul whois (ad es. gli indirizzi IP di alcuni paesi possono essere bloccati più velocemente e più a lungo, accorpati in sottoreti più grandi, ecc.)
• Fail2Ban Network (sincronizza eventi come tentativi e divieti tra host per proteggere intere reti)
• Velocizzare il blocco con l'introduzione di meccanismi di blocco in blocco
• Migliore supporto dei contenitori (Docker, Kubernetes, ecc.)

Fail2Ban è disponibile gratuitamente su github.

Devi leggere: