在上篇服务器被黑的文章中,有小伙伴在评论区评论了fail2ban这个工具,我到网上搜索使用了下,在这里交个试用作业。
fail2ban简介
以下内容翻译自官网:
Fail2ban扫描日志文件(例如/var/log/apache/error_log)并禁止具有危险信号的IP - 密码失败太多,寻找漏洞等等。通常,Fail2Ban用于更新防火墙规则以拒绝指定失败次数的IP地址,也可以配置任何其他任意行动(例如发送电子邮件)。 开箱即用的Fail2Ban带有各种服务的过滤器(apache,courier,ssh等)。 Fail2Ban能够降低不正确的身份验证尝试的速度,但是它无法消除弱身份验证所带来的风险。 如果您真的想要保护服务,请将服务配置为仅使用两个因素或公共/私有身份验证机制。
安装fail2ban
# yum install fail2ban
为服务器配置fail2ban
官网给出的建议是:不要直接修改.conf文件,而是新建一个.local文件,这些.local文件中的修改会覆盖.conf文件中内容。
# cd /etc/fail2ban
# cp jail.conf jail.local
# cp fail2ban.conf fail2ban.local
- 修改fail2ban.local文件
默认fail2ban的日志是写到SYSLOG中(/var/log/messages)的,这里改成推荐的/var/log/fail2ban.log
将 logtarget = SYSLOG 改为 logtarget = /var/log/fail2ban.log
- 修改jail.local文件
以下是个配置示例文件,可根据需要进行修改
[DEFAULT]
# 以空格分隔的列表,可以是 IP 地址、CIDR 前缀或者 DNS 主机名
# 用于指定哪些地址可以忽略 fail2ban 防御
ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24 192.168.0.0/24
# 客户端主机被禁止的时长(秒)
bantime = 86400
# 客户端主机被禁止前允许失败的次数
maxretry = 5
# 查找失败次数的时长(秒),在指定的10分钟内登录超过maxretry次数,它们将被禁止
findtime = 600
mta = sendmail
[ssh-iptables]
enabled = true
# 过滤器,默认设置为sshd,sshd引用/etc/fail2ban/filter.d/sshd.conf
filter = sshd
# 动作,将采取禁止匹配的IP的步骤. 每个操作都指向action.d目录(/etc/fail2ban/action.d/iptables.conf)的一个文件
action = iptables[name=SSH, port=ssh, protocol=tcp]
# 如果服务器设置了邮件服务器,可在禁止IP时发送邮件.默认引用/etc/fail2ban/action.d/sendmail-whois.conf的操作
# sendmail-whois[name=SSH, [email protected], [email protected]]
# Debian 系的发行版
logpath = /var/log/auth.log
# Red Hat 系的发行版
logpath = /var/log/secure
# ssh 服务的最大尝试次数
maxretry = 3
启动fail2ban服务
service fail2ban start
停止服务: service fail2ban stop
验证是否启动成功
为验证fail2ban是否成功运行,使用参数ping来运行fail2ban-client命令.如果fail2ban服务正常运行,可以看到pong的响应
# fail2ban-client ping
Server replied: pong
查看效果
没过多久,就抓到那么多IP,全部放到“监狱”
fail2ban-client status ssh-iptables
查看fail2ban的日志
cat /var/log/fail2ban.log
再来看看secure日志,fail2ban很幽默的说了句:Thank you for playing~
tail -100f /var/log/secure
其他
fail2ban只能缓解暴力密码攻击,但并不能保护SSH服务器避免来自分布式暴力破解组织,攻击者可通过使用成千上万个机器控制的IP地址来绕过fail2ban的防御机制,不知道有什么更好的办法可以进行服务器防护,还请指点。
閱讀更多 京京肚肚擼代碼 的文章