Ich betreibe eine Reihe von Webservern und habe bereits einen ziemlich guten Satz Firewall-Regeln eingerichtet, suche jedoch nach etwas, um den Datenverkehr zu überwachen und bei Bedarf Regeln hinzuzufügen. Ich habe Denyhosts, das auf fehlerhafte SSH-Anmeldungen überwacht, und das ist großartig – aber ich hätte gern etwas, das ich auf die gesamte Maschine anwenden könnte, um auch Bute-Force-Angriffe auf meine Webanwendungen zu verhindern, und um Regeln zum Blockieren von IPs hinzuzufügen, die Hinweise auf gängige Angriffe aufweisen.
Ich habe mir APF angesehen, aber es sieht so aus, als wäre es seit mehreren Jahren nicht mehr aktualisiert worden. Wird es noch verwendet und wäre es hierfür gut geeignet? Und welche anderen Lösungen gibt es, die iptables so manipulieren würden, dass es sich adaptiv verhält?
Ich verwende Ubuntu Linux, falls das hilft.
Antwort1
Ich bin ein wirklich großer Fan von fail2ban
http://www.fail2ban.org/wiki/index.php/Hauptseite
Hier ist eine Liste der wichtigsten in Fail2ban verfügbaren Funktionen.
Client/Server architecture.
Multi-threaded.
Highly configurable.
FAM/Gamin support.
Parses log files and looks for given patterns.
Executes commands when a pattern has been detected for the same IP address for more than X times. X can be changed.
After a given amount of time, executes another command in order to unban the IP address.
Uses Netfilter/Iptables by default but can also use TCP Wrapper (/etc/hosts.deny) and many other actions.
Handles log files rotation.
Can handle more than one service (sshd, apache, vsftpd, etc).
Resolves DNS hostname to IP address.
Antwort2
Lernenipset, von den Machern von iptables.
Lernen Sie dann, wie Sie das Ziel verwenden -j SET, vorzugsweise in Kombination mit -m recent -m limitund/oder -m hashlimit.
Viel Glück, junger Jedi! :-)
(Da Sie Ubuntu verwenden,mussInstallieren Sie ipset aus der Quelle. Das HOWTO finden Sie in meinem Blog:http://pepoluan.posterous.com/powertip-howto-install-ipset-on-ubuntu)
Antwort3
Antwort4
Es ist ein bisschen übertrieben, aber es gibt ein großartiges Projekt namens OSSEC, das Serverprotokolle überwachen kann und Remote-IPs blockieren kann, wenn es etwas Verdächtiges sieht (es hat eine Liste mit Regeln und Sie können Ihre eigenen schreiben).
Sie können es nicht als iptables-Daemon bezeichnen, aber es ist viel leistungsfähiger als denyhost.