如何在 Linux 上用 Fail2Ban 保护服务器免受暴力攻击 | Linux 中国

2018 年 2 月 1 日 Linux中国 译者:Flowsnow
任何连接到互联网的机器都是恶意攻击的潜在目标。 有一个名为 Fail2Ban 的工具可用来缓解服务器上的非法访问。
-- Magesh Maruthamuthu

本文导航
编译自 | https://www.2daygeek.com/how-to-install-setup-configure-fail2ban-on-linux/ 
 作者 | Magesh Maruthamuthu
 译者 | Flowsnow

Linux 管理员的一个重要任务是保护服务器免受非法攻击或访问。 默认情况下,Linux 系统带有配置良好的防火墙,比如iptables、Uncomplicated Firewall(UFW),ConfigServer Security Firewall(CSF)等,可以防止多种攻击。

任何连接到互联网的机器都是恶意攻击的潜在目标。 有一个名为 Fail2Ban 的工具可用来缓解服务器上的非法访问。

什么是 Fail2Ban?

Fail2Ban[1] 是一款入侵防御软件,可以保护服务器免受暴力攻击。 它是用 Python 编程语言编写的。 Fail2Ban 基于auth 日志文件工作,默认情况下它会扫描所有 auth 日志文件,如 /var/log/auth.log/var/log/apache/access.log 等,并禁止带有恶意标志的IP,比如密码失败太多,寻找漏洞等等标志。

通常,Fail2Ban 用于更新防火墙规则,用于在指定的时间内拒绝 IP 地址。 它也会发送邮件通知。 Fail2Ban 为各种服务提供了许多过滤器,如 ssh、apache、nginx、squid、named、mysql、nagios 等。

Fail2Ban 能够降低错误认证尝试的速度,但是它不能消除弱认证带来的风险。 这只是服务器防止暴力攻击的安全手段之一。

如何在 Linux 中安装 Fail2Ban

Fail2Ban 已经与大部分 Linux 发行版打包在一起了,所以只需使用你的发行包版的包管理器来安装它。

对于 Debian / Ubuntu,使用 APT-GET 命令[2]或 APT 命令[3]安装。

   
     
     
     
  1. $ sudo apt install fail2ban

对于 Fedora,使用 DNF 命令[4]安装。

   
     
     
     
  1. $ sudo dnf install fail2ban

对于 CentOS/RHEL,启用 EPEL 库[5]或 RPMForge[6] 库,使用 YUM 命令[7]安装。

   
     
     
     
  1. $ sudo yum install fail2ban

对于 Arch Linux,使用 Pacman 命令[8]安装。

   
     
     
     
  1. $ sudo pacman -S fail2ban

对于 openSUSE , 使用 Zypper命令[9]安装。

   
     
     
     
  1. $ sudo zypper in fail2ban

如何配置 Fail2Ban

默认情况下,Fail2Ban 将所有配置文件保存在 /etc/fail2ban/ 目录中。 主配置文件是 jail.conf,它包含一组预定义的过滤器。 所以,不要编辑该文件,这是不可取的,因为只要有新的更新,配置就会重置为默认值。

只需在同一目录下创建一个名为 jail.local 的新配置文件,并根据您的意愿进行修改。

   
     
     
     
  1. # cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

默认情况下,大多数选项都已经配置的很完美了,如果要启用对任何特定 IP 的访问,则可以将 IP 地址添加到 ignoreip 区域,对于多个 IP 的情况,用空格隔开 IP 地址。

配置文件中的 DEFAULT 部分包含 Fail2Ban 遵循的基本规则集,您可以根据自己的意愿调整任何参数。

   
     
     
     
  1. # nano /etc/fail2ban/jail.local

  2. [DEFAULT]

  3. ignoreip = 127.0.0.1/8 192.168.1.100/24

  4. bantime = 600

  5. findtime = 600

  6. maxretry = 3

  7. destemail = 2daygeek@gmail.com

◈  ignoreip:本部分允许我们列出 IP 地址列表,Fail2Ban 不会禁止与列表中的地址匹配的主机
◈  bantime:主机被禁止的秒数
◈  findtime:如果在最近  findtime 秒期间已经发生了  maxretry 次重试,则主机会被禁止
◈  maxretry:是主机被禁止之前的失败次数

如何配置服务

Fail2Ban 带有一组预定义的过滤器,用于各种服务,如 ssh、apache、nginx、squid、named、mysql、nagios 等。 我们不希望对配置文件进行任何更改,只需在服务区域中添加 enabled = true 这一行就可以启用任何服务。 禁用服务时将 true 改为 false 即可。

   
     
     
     
  1. # SSH servers

  2. [sshd]

  3. enabled = true

  4. port = ssh

  5. logpath = %(sshd_log)s

  6. backend = %(sshd_backend)s

◈  enabled: 确定服务是打开还是关闭。
◈  port:指明特定的服务。 如果使用默认端口,则服务名称可以放在这里。 如果使用非传统端口,则应该是端口号。
◈  logpath:提供服务日志的位置
◈  backend:指定用于获取文件修改的后端。

重启 Fail2Ban

进行更改后,重新启动 Fail2Ban 才能生效。

   
     
     
     
  1. [For SysVinit Systems]

  2. # service fail2ban restart

  3. [For systemd Systems]

  4. # systemctl restart fail2ban.service

验证 Fail2Ban iptables 规则

你可以使用下面的命令来确认是否在防火墙中成功添加了Fail2Ban iptables 规则。

   
     
     
     
  1. # iptables -L

  2. Chain INPUT (policy ACCEPT)

  3. target prot opt source destination

  4. f2b-apache-auth tcp -- anywhere anywhere multiport dports http,https

  5. f2b-sshd tcp -- anywhere anywhere multiport dports 1234

  6. ACCEPT tcp -- anywhere anywhere tcp dpt:1234

  7. Chain FORWARD (policy ACCEPT)

  8. target prot opt source destination

  9. Chain OUTPUT (policy ACCEPT)

  10. target prot opt source destination

  11. Chain f2b-apache-auth (1 references)

  12. target prot opt source destination

  13. RETURN all -- anywhere anywhere

  14. Chain f2b-sshd (1 references)

  15. target prot opt source destination

  16. RETURN all -- anywhere anywhere

如何测试 Fail2Ban

我做了一些失败的尝试来测试这个。 为了证实这一点,我要验证 /var/log/fail2ban.log 文件。

   
     
     
     
  1. 2017-11-05 14:43:22,901 fail2ban.server [7141]: INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6

  2. 2017-11-05 14:43:22,987 fail2ban.database [7141]: INFO Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'

  3. 2017-11-05 14:43:22,996 fail2ban.database [7141]: WARNING New database created. Version '2'

  4. 2017-11-05 14:43:22,998 fail2ban.jail [7141]: INFO Creating new jail 'sshd'

  5. 2017-11-05 14:43:23,002 fail2ban.jail [7141]: INFO Jail 'sshd' uses poller {}

  6. 2017-11-05 14:43:23,019 fail2ban.jail [7141]: INFO Initiated 'polling' backend

  7. 2017-11-05 14:43:23,019 fail2ban.filter [7141]: INFO Set maxRetry = 5

  8. 2017-11-05 14:43:23,020 fail2ban.filter [7141]: INFO Set jail log file encoding to UTF-8

  9. 2017-11-05 14:43:23,020 fail2ban.filter [7141]: INFO Added logfile = /var/log/auth.log

  10. 2017-11-05 14:43:23,021 fail2ban.actions [7141]: INFO Set banTime = 600

  11. 2017-11-05 14:43:23,021 fail2ban.filter [7141]: INFO Set findtime = 600

  12. 2017-11-05 14:43:23,022 fail2ban.filter [7141]: INFO Set maxlines = 10

  13. 2017-11-05 14:43:23,070 fail2ban.server [7141]: INFO Jail sshd is not a JournalFilter instance

  14. 2017-11-05 14:43:23,081 fail2ban.jail [7141]: INFO Jail 'sshd' started

  15. 2017-11-05 14:43:23,763 fail2ban.filter [7141]: INFO [sshd] Found 103.5.134.167

  16. 2017-11-05 14:43:23,763 fail2ban.filter [7141]: INFO [sshd] Found 103.5.134.167

  17. 2017-11-05 14:43:23,764 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170

  18. 2017-11-05 14:43:23,764 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170

  19. 2017-11-05 14:43:23,765 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170

  20. 2017-11-05 14:43:23,765 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170

  21. 2017-11-05 15:19:06,192 fail2ban.server [7141]: INFO Stopping all jails

  22. 2017-11-05 15:19:06,874 fail2ban.jail [7141]: INFO Jail 'sshd' stopped

  23. 2017-11-05 15:19:06,879 fail2ban.server [7141]: INFO Exiting Fail2ban

  24. 2017-11-05 15:19:07,123 fail2ban.server [8528]: INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6

  25. 2017-11-05 15:19:07,123 fail2ban.database [8528]: INFO Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'

  26. 2017-11-05 15:19:07,126 fail2ban.jail [8528]: INFO Creating new jail 'sshd'

  27. 2017-11-05 15:19:07,129 fail2ban.jail [8528]: INFO Jail 'sshd' uses poller {}

  28. 2017-11-05 15:19:07,141 fail2ban.jail [8528]: INFO Initiated 'polling' backend

  29. 2017-11-05 15:19:07,142 fail2ban.actions [8528]: INFO Set banTime = 60

  30. 2017-11-05 15:19:07,142 fail2ban.filter [8528]: INFO Set findtime = 60

  31. 2017-11-05 15:19:07,142 fail2ban.filter [8528]: INFO Set jail log file encoding to UTF-8

  32. 2017-11-05 15:19:07,143 fail2ban.filter [8528]: INFO Set maxRetry = 3

  33. 2017-11-05 15:19:07,144 fail2ban.filter [8528]: INFO Added logfile = /var/log/auth.log

  34. 2017-11-05 15:19:07,144 fail2ban.filter [8528]: INFO Set maxlines = 10

  35. 2017-11-05 15:19:07,189 fail2ban.server [8528]: INFO Jail sshd is not a JournalFilter instance

  36. 2017-11-05 15:19:07,195 fail2ban.jail [8528]: INFO Jail 'sshd' started

  37. 2017-11-05 15:20:03,263 fail2ban.filter [8528]: INFO [sshd] Found 103.5.134.167

  38. 2017-11-05 15:20:05,267 fail2ban.filter [8528]: INFO [sshd] Found 103.5.134.167

  39. 2017-11-05 15:20:12,276 fail2ban.filter [8528]: INFO [sshd] Found 103.5.134.167

  40. 2017-11-05 15:20:12,380 fail2ban.actions [8528]: NOTICE [sshd] Ban 103.5.134.167

  41. 2017-11-05 15:21:12,659 fail2ban.actions [8528]: NOTICE [sshd] Unban 103.5.134.167

要查看启用的监狱列表,请运行以下命令。

   
     
     
     
  1. # fail2ban-client status

  2. Status

  3. |- Number of jail:  2

  4. `- Jail list:   apache-auth, sshd

通过运行以下命令来获取禁止的 IP 地址。

   
     
     
     
  1. # fail2ban-client status ssh

  2. Status for the jail: ssh

  3. |- filter

  4. | |- File list: /var/log/auth.log

  5. | |- Currently failed: 1

  6. | `- Total failed: 3

  7. `- action

  8. |- Currently banned: 1

  9. | `- IP list: 192.168.1.115

  10. `- Total banned: 1

要从 Fail2Ban 中删除禁止的 IP 地址,请运行以下命令。

   
     
     
     
  1. # fail2ban-client set ssh unbanip 192.168.1.115


via: https://www.2daygeek.com/how-to-install-setup-configure-fail2ban-on-linux/

作者:Magesh Maruthamuthu[11] 译者:Flowsnow 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

LCTT 译者
Flowsnow 🌟 🌟 🌟
共计翻译: 14 篇
贡献时间:779 天

推荐文章

< 左右滑动查看相关文章 >

点击图片、输入文章 ID 或识别二维码直达




登录查看更多
0

相关内容

Linux 是一系列类 Unix 计算机操作系统的统称。该操作系统的核心为 Linux 内核。Linux 操作系统也是软件和开放源代码发展中最著名的例子之一。
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【中国人民大学】机器学习的隐私保护研究综述
专知会员服务
131+阅读 · 2020年3月25日
安全和健壮的医疗机器学习综述,附22页pdf
专知会员服务
46+阅读 · 2020年1月25日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
去哪儿网开源DNS管理系统OpenDnsdb
运维帮
21+阅读 · 2019年1月22日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
Arxiv
110+阅读 · 2020年2月5日
Neural Module Networks for Reasoning over Text
Arxiv
9+阅读 · 2019年12月10日
Mesh R-CNN
Arxiv
4+阅读 · 2019年6月6日
Arxiv
4+阅读 · 2018年4月17日
Arxiv
6+阅读 · 2018年2月26日
Arxiv
4+阅读 · 2017年11月4日
VIP会员
相关资讯
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
去哪儿网开源DNS管理系统OpenDnsdb
运维帮
21+阅读 · 2019年1月22日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
相关论文
Arxiv
110+阅读 · 2020年2月5日
Neural Module Networks for Reasoning over Text
Arxiv
9+阅读 · 2019年12月10日
Mesh R-CNN
Arxiv
4+阅读 · 2019年6月6日
Arxiv
4+阅读 · 2018年4月17日
Arxiv
6+阅读 · 2018年2月26日
Arxiv
4+阅读 · 2017年11月4日
Top
微信扫码咨询专知VIP会员