englishA WWM (Well, Wait a Minute! - No, megállj csak!) program syslog üzenetek alapján iptables szabályok IP címeit tölti fel. Ezeket a szabályokat a felhasználónak kell létrehozni! iptables.conf.var fájl nevesített listája, illetve 'recent' lista támogatott.
A program regexp illesztés alapján ismeri fel a felhasználandó bejegyzéseket. Protokolonként meghatározható a logsor eleje, a különféle végződések, illetve a figyelembe veendő kizárt hálózati címek. Minden egyes végződéshez meghatározható az esemény típusa amit leír. Az esemény szabályok alapvetően két csoportba oszthatók: engedélyező illetve tiltó.
Az engedélyező szabályok 'büntetlenséget' garantálnak adott időre, a tiltó szabályok ezzel szemben listára teszik a benne szereplő címet. Minden szabály leírja, hogy mennyi bejegyzés szükséges adott időn belül ahhoz, hogy a benne szereplő IP cím listára kerüljön, valamint azt is, hogy mennyi ideig maradjon rajta. Például:
- 3 sikertelen ssh bejelentkezés után 1 napra tiltólistára kerül a forrás IP
- 1 sikeres ssh belépés után fehér listára kerül a forrás IP 1 hétre
- 3 nem létező ssh felhasználóval való próbálkozás után 1 napra tiltólistára kerül a forrás IP
A programot a nagyobb biztonság érdekében egy figyelő kisalkalmazás futtatja. Amennyiben az alkalmazás valamiért megáll, a figyelő program újraindítja és levelet küld az eseményről. Ha a megállás egymás után rövid távon háromszor ismétlődik, a program már nem kerül automatikusan újraindításra.
Összahasonlító táblázat:
| funkció | WWM | fail2ban |
| iptables | ||
| dinamikus szabály létrehozás | x | x |
| saját chain(ek) | - | x |
| konfigurálható chain | x | - |
| konfigurálható match rule name | x | - |
| konfigurálható chain pozició | x | - |
| statikus szabály frissítés | x | - |
| kitiltás hatóköre (portok / protokollok) | állítható / minden | esemény protokollja |
| kilépéskor szabályok törlése | választható | x |
| gép induláskor 'sebezhetőségi ablak' | - | x |
| gép leálláskor 'sebezhetőségi ablak' | - | x |
| konfiguráció | ||
| figyelt fájlok száma | 1 | protokollonként megadható |
| konfigurációs fájlok száma | 2 | 2 + 23 akció + 31 minta |
| tiltás minta alapján | x | x |
| figyelmen kívül hagyás (ignore) minta alapján | - | x |
| fehér lista (IP tartomány) | x | x |
| fehér lista (esemény (minta) alapján) | x | - |
| protokollok száma | tetszőleges | tetszőleges |
| csomaggal érkező szabályok | 14 | 61 |
| ismétlődési ablak alapértelmezett mérete | 3 óra | 10 perc |
| reload lehetőség | x | x |
| manuális beavatkozás | ||
| protokoll figyelés hozzáadása/elvétele | reload | x |
| protokoll tiltások szüneteltetése/visszaállítása | - | x |
| pozitív minta (ban) hozzáadása/elvétele | reload | x |
| negatív minta (ignore) hozzáadása/elvétele | reload | x |
| naplózási szint megváltoztatása | N/A | x |
| naplófájl helyének megváltoztatása | reload | x |
| adott IP kitiltása | - | x |
| adott IP tiltásának törlése | x | - |
| program állapot információk | ||
| protokoll tiltások állapota | N/A | x |
| pozitív minták | show_config | x |
| negatív minták | show_config | x |
| tiltólistákkal kapcsolatos akciók | N/A | x |
| ismétlődési ablak mérete | show_config | x |
| kitiltási idő | show_config | x |
| kitiltást eredményező próbálkozások száma | show_config | x |
| naplózási szint | N/A | x |
| teljes konfiguráció | x | - |
| belső változók tartalma | x | - |