Skip to content

fail2ban: ein schönes Logfilemonitoring

fail2ban ist ein Programm zum Monitoren von Logfiles - hauptsächlich um Einbruchsversuche zu verhindern; sprich wenn jemand versucht sowas wie Paßwortraten zu machen.
Ich habe das ganze modifiziert, so dass es a) mit Solaris 10 und b) mit Apache-Logfiles funktioiniert - und zwar so dass normale Leute nicht gestört werden, wenn aber jemand Webseiten "abrippen" will wird er geblockt.
Einiges ist mir dabei aufgefallen:

Ein "normales" Logfile-Rotieren im Sinne von "guck nach dem Datum" geht bisher nicht; der ConfigParser von Python sieht so etwas wohl nicht vor. Aber ein Reload sollte an der Stelle reichen; fail2ban schaiut dann nach welche Logfiles neu sind (wenn man mit Wildcards arbeitet) und liest diese dann ein.

Ausserdem scheint es alle Logfiles von Anfang bis Ende erstmal durchzuarbeiten. Das hat mich gewundert, weil der Prozess erstmal eine CPU ganz für sihc beanspruchte, aber nichts passierte. Erst als er quasi an die aktuellen Logfiles kam (9 Uhr und später) kam plötzlich Bewegung - er hat fliessig IPs gebannt. Ich muss mal schauen ob das gerechtfertigt ist, aber offensichtlich startet er beim Zählen beim Starten von fail2ban und nicht dann, wenn es im Logfile eingetragen ist. Das muss ich im Zweifelsfall nachfragen und eventuell ändern. Noch weiss ich nicht warum ich einen Exit-Code von 100 bekomme wenn er bannt, aber auch das bekomme ich noch raus...

Ansonsten sieht fail2ban in der 0.7er-Version zumindest für mich gut aus. Ein XML-File für die Solaris-10-SMF habe ich schon gebaut und werde ich wohl nächstens auch dem Projekt zur Verfügung stellen.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Um einen Kommentar hinterlassen zu können, erhalten Sie nach dem Kommentieren eine E-Mail mit Aktivierungslink an ihre angegebene Adresse.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Formular-Optionen