LINUX.ORG.RU

Релиз fail2ban 0.8.7

 ,


4

2

Сегодня вышел очередной релиз fail2ban под номером 0.8.7.

Напомню, что fail2ban является демоном, который сканирует определенные пользователем log-файлы и автоматически добавляет правила в iptables при срабатывании заданных фильтров. Например можно задать правило, что после 2-х неудачных попыток авторизоваться по smtp, IP-адрес удалённой стороны будет заблокирован на определённое количество минут.

Новая функциональность:

  • Добавлен фильтр/jail для lighttpd-auth.
  • pyinotify в качестве backend.
  • usedns-параметр для jails, позволяющий не использовать DNS.
  • 'recidive' фильтр/jail для мониторинга файла fail2ban.conf, позволяющий блокировать повторяющихся атакующих.
  • Добавлена поддержка asterisk.
  • Возможно запускать fail2ban не под рутом.

Исправления:

  • Исправлен Gentoo init-скрипт.
  • В addBannedIP добавлено достаточное количество правил для срабатывания триггера бана, не только одна неудачная попытка.
  • Поле «ip» принудительно возвращается как str, а не unicode, для сохранения лога в non-unicode.
  • Разрешены trailing white-spaces в lighttpd-auth.conf.
  • Разрешены trailing white-spaces в некоторых regex в sshd.conf.

>>> Полный список исправлений и улучшений

>>> Подробности

★★★★★

Проверено: Shaman007 ()

О, наконец-то его обновили! Использую его постоянно.

tis ★★ ()

Годная новость.
Что лично мне понравилось:

Добавлена поддержка asterisk.

А вот этого не очень понял:

usedns параметр для jails позволяющий не использовать DNS.

dada ★★★★★ ()

IP-адрес удалённой стороны будет заблокирован на определённое количество минут

вообще заблокирован? то есть, не получит доступа ни к чему вообще?

xsektorx ★★★ ()

и автоматически добавляет правила в iptables

Отличная защита от ддоса, почти как обезвреживать террористов, захвативших заложников, путем нанесения по ним ядерного удара.

Yasenfire ()
Ответ на: комментарий от xsektorx

вообще заблокирован? то есть, не получит доступа ни к чему вообще?

Как пользователь пропишет, так и будет. По умолчанию блокируется доступ к атакуемому сервису.

Mr_Alone ★★★★★ ()
Ответ на: комментарий от Yasenfire

Отличная защита от ддоса, почти как обезвреживать террористов, захвативших заложников, путем нанесения по ним ядерного удара.

Расскажите нам, как правильно. Всем будет интересно.

Mr_Alone ★★★★★ ()
Ответ на: комментарий от Mr_Alone

Ну, значит, год назад я добавлял поддержку астериска, которую авторы добавили только сейчас :)

Тем не менее программа отличная, хорошо, что развивается. Запуск из-под нерута надо пощупать.

riki ★★★★ ()

И сразу 0.8.7.1 сделали.

А багу с параллельной отправкой правил на iptables из нескольких Jail'ов пофиксили?

YAR ★★★★★ ()
Ответ на: комментарий от riki

Фильтры/правила можно написать для чего угодно. Просто тут добавили «из коробки». :-)

Mr_Alone ★★★★★ ()

Годная утилита. Спасибо за новость

observer ★★★ ()

Интересно, а есть аналог на каком-нибудь человеческом языке, который бы можно было под OpenWRT запустить?

AiFiLTr0 ★★★★★ ()
Ответ на: комментарий от AVL2

насчет глюков не скажу, но да, если бы она не жрала столько памяти, то было бы круто. А то на мелких vps'ах такое жрет не мало.

mrdeath ★★★★★ ()

что после 2-х неудачных попыток авторизоваться по smtp, IP-адрес удалённой стороны будет заблокирован на определённое количество минут

Отличный способ забанить IP с которого заходит админ сервера

no-such-file ★★★★★ ()
Ответ на: комментарий от dada

usedns

Смотри например https://github.com/fail2ban/fail2ban/pull/64 како пример как DNS может быть использован для DoS аттак. Так же было живое обсуждение на листе. Скорей всего в будующем по умолчанию использование DNS будет отключено вообще — в идеале нужно использовать только IP адреса

anonymous ()
Ответ на: комментарий от no-such-file

Отличный способ забанить IP с которого заходит админ сервера

Если админ дурак и не настроил игнор для своих адресов, то пусть ждёт разбана.

AnDoR ★★★★★ ()
Ответ на: комментарий от no-such-file

Отличный способ забанить IP с которого заходит админ сервера

пусть зайдёт с другого и внесёт себя в белый список

true_admin ★★★★★ ()
Ответ на: комментарий от AiFiLTr0

а есть аналог на каком-нибудь человеческом языке

может csf подойдет. Но там лицензия левая...

dubrsl ()

А тут еще были те, кому нравится NAT. Вот им то повезло!

cvs-255 ★★★★★ ()

А поддержку IPv6 так и не внедрили...

Приходится пользоваться неофициальными патчами. И, кстати, не факт, что они будут работать с новой версией.

anonymous ()
Ответ на: комментарий от AiFiLTr0

Интересно, а есть аналог на каком-нибудь человеческом языке

Я писал пару лет назад такую вещь на Си.
Но только для стандартных логов apache/lighttpd: http://pacify.ru/logipinspect.html
Просьба не ругать - так как программу писал на время, за 2-3 дня вроде.

pacify ★★★★★ ()
Ответ на: комментарий от pacify

Спасибо, поковыряю. Если дойдут руки пришлю патчи.

AiFiLTr0 ★★★★★ ()
Ответ на: комментарий от pacify

Я писал пару лет назад такую вещь на Си.

Круто. Я так же хочу.

anonymous ()
Ответ на: комментарий от pacify

Я писал пару лет назад такую вещь на Си.

Ёп! Да это-ж полное г.....

Просьба не ругать

оО

ну, ничё та программа...

anonymous ()
Ответ на: комментарий от anonymous

Ёп! Да это-ж полное г.....

Написано было на коленке, за пару дней, в качестве одной из 5-ти
задач на испытательном задании в один ВУЗ.

В этой реализации я проверил свои идеи насчёт парсинга
с помощью конечного автомата. Дальше развивать эти идеи не стал -
энтузиазма не хватило.

pacify ★★★★★ ()
Ответ на: комментарий от pacify

Написано было на коленке, за пару дней

Не парься. Я-ж не ругаю вовсе. Тем более, мне такого и за десять дней не написать... Ну за десять может и напишу, но не быстрее точно.

anonymous ()

Как у него со временем срабатывания?

Насколько я помню у апача он мониторит логи и банит если настроено. Не нравилось то, что пока сработает на какого-то дятла ищущего дырки и забанит, в логах апача от этого дятла строк десять появится.

Может кто подскажет как бороться?

dromer ()
Ответ на: комментарий от firsttimeuser

DenyHosts will only watch your SSH service. If you need it to protect other services as well, Fail2ban is definitely a better choice

Это то что интернет подсказал. То есть если кто пробует выполнить логин на админстраницу сайта или еще какой ломающий запрос поперебирать в адресной строке, то DenyHosts тут не поможет. Хотя я его не пробовал, может что и поменялось

dromer ()

Напомню, что fail2ban является демоном,

демоном

звоните Винчестерам!

eR ★★★★★ ()
Ответ на: комментарий от Yasenfire

Отличная защита от ддоса, почти как обезвреживать террористов, захвативших заложников, путем нанесения по ним ядерного удара.

При чем тут ддос? Это просто для защиты от перебора логинов/паролей. Временами, больше половины логов забиты этой гадостью.

gruy ★★★★★ ()
Ответ на: комментарий от jekader

В Ленни нет, в Сквизи старьё. Судя по доступу к файлам в гитхуб/свн, уже скоро запах пойдёт. Кто-нибудь, позвоните 911, тут очередной труп.

Mr_Alone ★★★★★ ()

pam-abl ко всему к чему можно прикрутить pam

anonymous ()
Ответ на: комментарий от no-such-file

Пару лет назад пытался по ssh на роутер влезть - «подправить» немного. Корявыми пальцами 3 раза неправильно ввёл пас и «куку, Гриня». Сначала дико бесился, а когда проспался - возносил хвалу всем богам, что настроил эту штуку.

anonymous ()
Ответ на: комментарий от anonymous

Я вообще-то имел в виду подделку tcp соединения через подбор tcp sequence number, и, как следствие забан любого ip своими же руками. Так что, кто настроил эту штуку - пусть готовится к специфичной атаке - хрен редьки не слаще.

no-such-file ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.