О, наконец-то его обновили! Использую его постоянно.

Годная новость.
Что лично мне понравилось:

Добавлена поддержка asterisk.

А вот этого не очень понял:

usedns параметр для jails позволяющий не использовать DNS.

Так год назад я вешал правило для астериска... Даже для FreePBX модуль есть... Чего добавили-то?

Чего добавили-то?

asterisk.conf в filter.d и рулы в jail.conf.

IP-адрес удалённой стороны будет заблокирован на определённое количество минут

вообще заблокирован? то есть, не получит доступа ни к чему вообще?

и автоматически добавляет правила в iptables

Отличная защита от ддоса, почти как обезвреживать террористов, захвативших заложников, путем нанесения по ним ядерного удара.

вообще заблокирован? то есть, не получит доступа ни к чему вообще?

Как пользователь пропишет, так и будет. По умолчанию блокируется доступ к атакуемому сервису.

Отличная защита от ддоса, почти как обезвреживать террористов, захвативших заложников, путем нанесения по ним ядерного удара.

Расскажите нам, как правильно. Всем будет интересно.

Ну, значит, год назад я добавлял поддержку астериска, которую авторы добавили только сейчас :)

Тем не менее программа отличная, хорошо, что развивается. Запуск из-под нерута надо пощупать.

И сразу 0.8.7.1 сделали.

А багу с параллельной отправкой правил на iptables из нескольких Jail'ов пофиксили?

Фильтры/правила можно написать для чего угодно. Просто тут добавили «из коробки». :-)

Возможно запускать fail2ban не под рутом.

Как они это сделали?
sudo, capabilities?

Годная утилита. Спасибо за новость

Судя по нотесам, через xt_recent. В смысле правила в iptables добавляются.

жирная питоновая глюкалка.

Интересно, а есть аналог на каком-нибудь человеческом языке, который бы можно было под OpenWRT запустить?

насчет глюков не скажу, но да, если бы она не жрала столько памяти, то было бы круто. А то на мелких vps'ах такое жрет не мало.

на шеле + awk/sed можно сделать.

что после 2-х неудачных попыток авторизоваться по smtp, IP-адрес удалённой стороны будет заблокирован на определённое количество минут

Отличный способ забанить IP с которого заходит админ сервера

usedns

Смотри например https://github.com/fail2ban/fail2ban/pull/64 како пример как DNS может быть использован для DoS аттак. Так же было живое обсуждение на листе. Скорей всего в будующем по умолчанию использование DNS будет отключено вообще — в идеале нужно использовать только IP адреса

Нет, по конкретному порту

Отличный способ забанить IP с которого заходит админ сервера

Если админ дурак и не настроил игнор для своих адресов, то пусть ждёт разбана.

Отличный способ забанить IP с которого заходит админ сервера

пусть зайдёт с другого и внесёт себя в белый список

путем нанесения по ним ядерного удара.

поясни

Спасибо.

а есть аналог на каком-нибудь человеческом языке

может csf подойдет. Но там лицензия левая...

А тут еще были те, кому нравится NAT. Вот им то повезло!

А поддержку IPv6 так и не внедрили...

Приходится пользоваться неофициальными патчами. И, кстати, не факт, что они будут работать с новой версией.

пользуюсь sshguard, мне хватает. Тоже много форматов логов понимает.

# apt-cache search sshguard
# apt-cache search fail2ban
fail2ban - bans IPs that cause multiple authentication errors
#

Интересно, а есть аналог на каком-нибудь человеческом языке

Я писал пару лет назад такую вещь на Си.
Но только для стандартных логов apache/lighttpd: http://pacify.ru/logipinspect.html
Просьба не ругать - так как программу писал на время, за 2-3 дня вроде.

Спасибо, поковыряю. Если дойдут руки пришлю патчи.

Я писал пару лет назад такую вещь на Си.

Круто. Я так же хочу.

Я писал пару лет назад такую вещь на Си.

Ёп! Да это-ж полное г.....

Просьба не ругать

оО

ну, ничё та программа...

Ёп! Да это-ж полное г.....

Написано было на коленке, за пару дней, в качестве одной из 5-ти
задач на испытательном задании в один ВУЗ.

В этой реализации я проверил свои идеи насчёт парсинга
с помощью конечного автомата. Дальше развивать эти идеи не стал -
энтузиазма не хватило.

Написано было на коленке, за пару дней

Не парься. Я-ж не ругаю вовсе. Тем более, мне такого и за десять дней не написать... Ну за десять может и напишу, но не быстрее точно.

Как у него со временем срабатывания?

Насколько я помню у апача он мониторит логи и банит если настроено. Не нравилось то, что пока сработает на какого-то дятла ищущего дырки и забанит, в логах апача от этого дятла строк десять появится.

Может кто подскажет как бороться?

всю жизнь везде использую denyhosts. Я что то потерял?

DenyHosts will only watch your SSH service. If you need it to protect other services as well, Fail2ban is definitely a better choice

Это то что интернет подсказал. То есть если кто пробует выполнить логин на админстраницу сайта или еще какой ломающий запрос поперебирать в адресной строке, то DenyHosts тут не поможет. Хотя я его не пробовал, может что и поменялось

iptabjes -j DROP

Напомню, что fail2ban является демоном,

демоном

звоните Винчестерам!

Отличная защита от ддоса, почти как обезвреживать террористов, захвативших заложников, путем нанесения по ним ядерного удара.

При чем тут ддос? Это просто для защиты от перебора логинов/паролей. Временами, больше половины логов забиты этой гадостью.

http://packages.debian.org/search?keywords=sshguard

В Ленни нет, в Сквизи старьё. Судя по доступу к файлам в гитхуб/свн, уже скоро запах пойдёт. Кто-нибудь, позвоните 911, тут очередной труп.

pam-abl ко всему к чему можно прикрутить pam

Пару лет назад пытался по ssh на роутер влезть - «подправить» немного. Корявыми пальцами 3 раза неправильно ввёл пас и «куку, Гриня». Сначала дико бесился, а когда проспался - возносил хвалу всем богам, что настроил эту штуку.

Я вообще-то имел в виду подделку tcp соединения через подбор tcp sequence number, и, как следствие забан любого ip своими же руками. Так что, кто настроил эту штуку - пусть готовится к специфичной атаке - хрен редьки не слаще.