fail2ban 是一款用于保护你的服务器免于暴力攻击的入侵保护软件。fail2ban 用 Python 写成,并广泛用于很多服务器上。fail2ban 可以扫描日志文件和 IP 黑名单来显示恶意软件、过多的密码失败尝试、web 服务器利用、wordpress 插件攻击和其他漏洞。 通过匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员!
fail2ban工作的原理是通过分析一定时间内的相关服务日志,将满足动作的相关IP利用iptables加入到dorp(丢弃)列表一定时间。
fail2ban 官方网址:http://www.fail2ban.org
fail2ban 源码地址:https://github.com/fail2ban/fail2ban
一、安装fail2ban
安装需要的环境:
Python2 >= 2.6 or Python >= 3.2 or PyPy
Linux >= 2.6.13
检查本机环境:
[root@ecs fail2ban]# python -V
Python 2.7.5
[root@ecs fail2ban]# uname -r
3.10.0-693.11.1.el7.x86_64
第一种方式---yum安装:
yum -y install epel-release
yum -y install fail2ban
第二种方式---源码安装:
1、下载安装包并解压
cd /tmp
wget https://github.com/fail2ban/fail2ban/archive/0.10.4.tar.gz
tar -xvzf 0.10.4.tar.gz
2、安装
cd /tmp/fail2ban-0.10.4/
python setup.py install
3、生成服务启动脚本并开机自启
cp /tmp/fail2ban-0.10.4/files/redhat-initd /etc/init.d/fail2ban
#设置fail2ban服务为自启动服务
systemctl enable fail2ban
#启动fail2ban服务
systemctl start fail2ban
安装完成后,
fail2ban的配置文件路径:/etc/fail2ban
自带的监狱配置文件:/etc/fail2ban/jail.conf(主配置文件,一般不做修改)
自定义的监狱配置文件:/etc/fail2ban/jail.local(在jail.local文件里配置的内容会覆盖jail.conf内容里相同的值。)
fail2ban的日志文件:/var/log/fail2ban.log
达到阈值之后的执行的动作的配置文件: action.d/
包含所有的过滤规则:filter.d/
二、配置fail2ban实现防暴力破解
1、编辑配置文件 jail.local
vim /etc/fail2ban/jail.local
文件内容:
#defalut这里是设定全局设置,若下面的监控没有设置就以全局设置的值设置
[DEFAULT]
# 以空格分隔的列表,可以是 IP 地址、CIDR 前缀或者 DNS 主机名
# 用于指定哪些地址可以忽略 fail2ban 防御
ignoreip = 127.0.0.1 192.168.1.0/24
# 客户端主机被禁止的时长(秒)
bantime = 86400
# 客户端主机被禁止前允许失败的次数
maxretry = 5
# 查找失败次数的时长(秒)
findtime = 600
# 配置用于发送警报邮件的邮件服务
mta = mail
[ssh-iptables]
# 是否开启
enabled = true
# 采用的过滤器
filter = sshd
# 采取的动作
action = iptables[name=SSH, port=ssh, protocol=tcp]
action = mail[name=SSH, dest=cherishpf@163.com]
# 针对的日志文件的路径
logpath = /var/log/secure
# ssh 服务的最大尝试次数
maxretry = 3
在这里需要注意一点就是:我们上面的action设置的时候,port=ssh,如果我们更改了sshd服务的端口号,需要在这里设置对应的端口号,否则配置不生效。
上面的配置意思是如果同一个IP,在10分钟内,如果连续超过3次错误,则使用Firewalld将他的IP ban了。
2、防暴力破解测试
在上面配置好了之后,我们需要让配置生效:
fail2ban-client reload
测试:使用另一台服务器不断尝试连接SSH,并故意连续输入错误密码3次,再进行登录时,会拒绝登录
可以输入:fail2ban-client status ssh-iptables查看被ban的IP,如下:
[root@ecs]# fail2ban-client status ssh-iptables
Status for the jail: ssh-iptables
|-filter
| |- File list: /var/log/secure #日志文件路径
| |- Currently failed:0 #当前失败次数
| `- Total failed:3 #总失败次数
`-action
|- Currently banned:1 #当前禁止的ip数量
| `- IP list:122.112.133.252 #当前禁止的ip
`- Total banned:1 #禁止的ip总数
常用命令:
#启动
systemctl start fail2ban
#停止
systemctl stop fail2ban
#查看被ban IP,其中sshd为名称,比如上面的[ssh-iptables]
fail2ban-client status sshd
#删除被ban IP
fail2ban-client set sshd delignoreip 192.168.111.111
#如果上述命令出错,可尝试执行
fail2ban-client set sshd unbanip 192.168.111.111
#查看日志
tail -f /var/log/fail2ban.log
调试过滤器
运行以下命令查看fail2ban过滤器是否适用于特定日志文件:
fail2ban-regex /var/log/example.error.log /etc/fail2ban/filter.d/sshd.conf
输出将包含以下内容:
Results
=======
Failregex: 623 total
.........
Lines: 1733 lines, 345 ignored, 278 matched, 1110 missed
如果是零匹配,那么过滤器的正规表达式可能有问题。
总结
fail2ban已经内置很多匹配规则,位于filter.d目录下,包含了常见的SSH/FTP/Nginx/Apache等日志匹配,如果都还无法满足您的需求,您也可以自行新建规则来匹配异常IP。使用fail2ban + Firewalld来阻止恶意IP是行之有效的办法,可极大提高服务器安全。
参考:
https://www.cnblogs.com/operationhome/p/9184580.html
https://www.xiaoz.me/archives/9831
网友评论