You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

3.0 KiB

tags title
devel, репост Новый проект - f2b, легковесная замена fail2ban

Идея "переписать fail2ban" периодически приходила в голову. Хоть они и пишут, что "кроме питона ничего не надо", но сам по себе питон тянет уже дохрена всего.

Кроме того, на типовой роутер fail2nan вкорячить конечно можно, но места под что-либо другое уже не хватит.


В типовом роутере с openwrt на его 4Мб ROM остаётся максимум 700кб свободного места (это без нифига), и ~350 - с вебмордой и минимумом софта. Тулить туда "всего лишь питон" - затея изначально дикая.

Потребление памяти: RES - 8Mb, VIRT - 400Mb, а у роутера - всего 16-32Мб. "Точно-точно будет работать?"

Возможности:

Сейчас оно умеет 2 типа регекспов (posix/pcre), через подгружаемые модули и (пока) 1 backend - exec (выполнение одной или нескольких произвольных команд на указанное действие).

Коллекция паттернов пока небогатая, но легко портируется.

Документации сейчас почти нет, ни отдельной, ни в виде doxygen'а, но будет.

Исходники брать тут: f2b

В планах: перечитывание конфига, backend для redis, backend для ipset (через библиотеку), источник-данных-как-модуль (сейчас - только файлы), простенький клиент для конфигурации на лету, без рестарта.

Также есть мысль добавить своеобразный teaming на базе igmp. Чтобы забаненный на одном хосте, также банился и на остальных. Впринципе, этого можно добиться и через тот же redis.

Справедливости ради, упомяну ещё похожую софтину - sshguard. С ней проблема в том, что там команды бана/разбана хардкодятся при компиляции, а сама она ориентирована на "обнаружение атак" ))).

Причём сам "детектор" написан на yacc/lex, что-то там поправить - это просто верх удобства, по сравнению с обычным файликом со списком регекспов. Ну и опять же - работает только с файлами.