toscom setzt auf fail2ban

Fail2ban ist ein Tool, welches auf einem Großteil unserer Server zum Einsatz kommt. Die Aufgabe von Fail2ban ist es, den Server und seine Dienste vor Brute Force Attacken zu schützen. Bei Brute Force Attacken probieren Hacker Zugriffe auf das System zu erlangen, indem sie Passwörterkombinationen testen. Dies tun sie in so kurzer Abfolge, dass schwache (kurze) Passwörter relativ schnell geknackt werden könnten.

Hier kommt Fail2ban ins Spiel: Wird das Tool beispielsweise für den sshd (der Prozess, welcher für Logins mittels SSH auf einen Host verantwortlich ist) aktiviert, so wird in der Grundeinstellung nach fünf falschen Passwortversuchen die IP des Verursachers für zehn Minuten mittels Firewalling gesperrt. Fail2ban durchsucht für diesen Vorgang Logfiles und erkennt unberechtigte Zugriffe. Dadurch verringern sich die Möglichkeiten des Probierens von Passwörtern drastisch, denn ein Angreifer kann nur mehr alle zehn Minuten fünf Passwörter probieren, wo hingegen ohne Fail2ban tausende versuche in der selben Zeit möglich wären.

Fail2ban besitzt auch die Möglichkeit gewisse IPs aus der Überwachung auszunehmen (Whitelisting). So wird verhindert, dass sich legitime User aus dem Host aussperren.