Про Fail2Ban знают практически все Linux админы, которые открывали какой-либо сервис для доступа через интернет. С его помощью можно анализировать лог файлы, находить там подозрительные действия и ip адреса исполнителей. А потом банить их с помощью firewall. Механизм простой и эффективный.
Долгое время я вообще не знал и не пробовал аналогов. Потом появился CrowdSec, который делает всё то же самое, что fail2ban, но сам чуть более сложный и продвинутый, разбит на компоненты, имеет шире функционал.
Помимо этих двух продуктов, которые работают только под Linux, есть похожая программа для Windows - IPBan. При этом его можно и на Linux поставить, но я не знаю, насколько он может быть актуален с учётом того, что там есть fail2ban. А вот для Windows имеет право на жизнь, особенно забесплатно. Особенно для защиты RDP. Кстати, подобная программа, но только для защиты RDP, есть попроще - RDP Defender.
Ставится IPBan очень просто. Для этого достаточно скачать архив из репозитория и запустить установщик, который создаст службу. Рядом будет лежать файл конфигурации с настройками. Он в XML формате, выглядит не очень наглядно. Для него в wiki есть описание параметров. По дефолту IPBan будет следить за службами: RDP, OpenSSH, VNC, MySQL, SQL Server и Exchange. После установки имеет смысл создать файл unban.txt и заполнить своими адресами, чтобы не получить бан самого себя по ошибке.
Какого-то интерфейса для управления IPBan нет. Он работает как служба и банит адреса с помощью встроенного фаервола в Windows. Для этого он создаёт отдельное правило и заполняет его адресами, которые нужно заблокировать.
Сайт - https://ipban.com/
Исходники - https://github.com/DigitalRuby/IPBan
Документация - https://github.com/DigitalRuby/IPBan/wiki
Отправить комментарий