Fail2ban介绍
Fail2ban的原理是获取系统服务的消息日志,根据日志的内容匹配自定义的规则,从而触发自定义的动作;它与rdpguard原理相同,是运行在linux平台上的一个动态防御系统。
例如:定义某IP在10分钟内访问nginx时返回403的响应5次,那么Fail2ban就会调用iptables封禁该IP。
fail2ban的原理
Fail2Ban安装和使用
1. 安装和配置
系统采用centos7 安装epel后 yum install -y fail2ban 安装。
fail2ban 结构:
/etc/fail2ban ## fail2ban 服务配置目录。
/etc/fail2ban/action.d ## iptables 、mail 等动作文件目录。
/etc/fail2ban/filter.d ## 条件匹配文件目录,过滤日志关键内容。
/etc/fail2ban/jail.conf ## fail2ban 防护配置文件。
/etc/fail2ban/fail2ban.conf ## fail2ban 配置文件,定义日志级别、日志、sock 文件位置等。
[DEFAULT] #默认的,优先级最低。
ignoreip = 127.0.0.1/8 192.168.1.0/24 # 白名单 。
bantime = 600 # 封禁时间,单位:秒,-1为永久封锁。
findtime = 600 # 在多久的时间內,单位:秒 。
maxretry = 3 # 登录失败次数封锁。
2. SSH防暴力破解配置
cp jail.conf jail.local (修改前cp一下jail.conf文件,如果不cp为local会导致启动出错)。
使用yum安装完成之后配置文件会带一些规则,但是规则默认不开启。
将里面enabled = false 修改为true即可启动。
测试开启ssh enabled = true。
使用hydra进行SSH暴力破解攻击后SSH连接已被阻断
fail2ban的日志显示,ban掉了攻击的ip
触发的iptables封禁
3、Mysql防暴力破解
修改mysql的配置文件/etc/my.cnf。
修改mysql的日志级别
重启数据库 systemctl restart mairadb。
在filter.d里面添加规则mysqld.conf。
[root@nginx-test filter.d]# vim mysqld.conf
[INCLUDES]
before = common.conf
[Definition]
failregex = Access denied for user '\\w+'@'<host>'/<host>
ignoreregex =
修改jail.conf,添加mysql的配置。
[mysqld]
enabled = true
filter = mysqld
action = iptables[name=mysql, port=3306, protocol=tcp]
logpath = /var/log/mariadb/mariadb.log
maxretry = 4
然后重启fail2ban。
使用hydra暴力破解数据库
fail2ban的日志
攻击机已无法连接数据库
攻击机ip被iptables封禁
4、Fail2ban的小命令
解除ssh的封禁:fail2ban-client set ssh unbanip 192.168.10.192
查看fail2ban状态:fail2ban-client status
重启fail2ban:systemctl restart fail2ban
5、小结
fail2ban是由python编写,自带高质量的规则库。也可以自己编写规则,可以结合sendmail进行封禁后的邮件告警。
閱讀更多 一個路過的醬油瓶 的文章
