51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

如何在Linux上用Fail2Ban保护服务器免受暴力攻击

作者:Magesh Maruthamuthu
系统 Linux 系统运维
Linux管理员的一个重要任务是保护服务器免受非法攻击或访问。 默认情况下,Linux系统带有配置良好的防火墙,可以防止多种攻击。任何连接到互联网的机器都是恶意攻击的潜在目标。 有一个名为Fail2Ban的工具可用来缓解服务器上的非法访问。

[[219006]]

Linux 管理员的一个重要任务是保护服务器免受非法攻击或访问。 默认情况下,Linux 系统带有配置良好的防火墙,比如iptables、Uncomplicated Firewall(UFW),ConfigServer Security Firewall(CSF)等,可以防止多种攻击。

任何连接到互联网的机器都是恶意攻击的潜在目标。 有一个名为 Fail2Ban 的工具可用来缓解服务器上的非法访问。

 

什么是 Fail2Ban?

Fail2Ban 是一款入侵防御软件,可以保护服务器免受暴力攻击。 它是用 Python 编程语言编写的。 Fail2Ban 基于auth 日志文件工作,默认情况下它会扫描所有 auth 日志文件,如 /var/log/auth.log/var/log/apache/access.log 等,并禁止带有恶意标志的IP,比如密码失败太多,寻找漏洞等等标志。

通常,Fail2Ban 用于更新防火墙规则,用于在指定的时间内拒绝 IP 地址。 它也会发送邮件通知。 Fail2Ban 为各种服务提供了许多过滤器,如 ssh、apache、nginx、squid、named、mysql、nagios 等。

Fail2Ban 能够降低错误认证尝试的速度,但是它不能消除弱认证带来的风险。 这只是服务器防止暴力攻击的安全手段之一。

 

如何在 Linux 中安装 Fail2Ban

Fail2Ban 已经与大部分 Linux 发行版打包在一起了,所以只需使用你的发行包版的包管理器来安装它。

对于 Debian / Ubuntu,使用 APT-GET 命令APT 命令安装。

  1. $ sudo apt install fail2ban

对于 Fedora,使用 DNF 命令安装。

  1. $ sudo dnf install fail2ban

对于 CentOS/RHEL,启用 EPEL 库RPMForge 库,使用 YUM 命令安装。

  1. $ sudo yum install fail2ban

对于 Arch Linux,使用 Pacman 命令安装。

  1. $ sudo pacman -S fail2ban

对于 openSUSE , 使用 Zypper命令安装。

  1. $ sudo zypper in fail2ban

 

如何配置 Fail2Ban

默认情况下,Fail2Ban 将所有配置文件保存在 /etc/fail2ban/ 目录中。 主配置文件是 jail.conf,它包含一组预定义的过滤器。 所以,不要编辑该文件,这是不可取的,因为只要有新的更新,配置就会重置为默认值。

只需在同一目录下创建一个名为 jail.local 的新配置文件,并根据您的意愿进行修改。

  1. # cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

默认情况下,大多数选项都已经配置的很完美了,如果要启用对任何特定 IP 的访问,则可以将 IP 地址添加到 ignoreip 区域,对于多个 IP 的情况,用空格隔开 IP 地址。

配置文件中的 DEFAULT 部分包含 Fail2Ban 遵循的基本规则集,您可以根据自己的意愿调整任何参数。

  1. # nano /etc/fail2ban/jail.local
  2.  
  3. [DEFAULT]
  4. ignoreip = 127.0.0.1/8 192.168.1.100/24
  5. bantime = 600
  6. findtime = 600
  7. maxretry = 3
  8. destemail = 2daygeek@gmail.com
  • ignoreip:本部分允许我们列出 IP 地址列表,Fail2Ban 不会禁止与列表中的地址匹配的主机
  • bantime:主机被禁止的秒数
  • findtime:如果在最近 findtime 秒期间已经发生了 maxretry 次重试,则主机会被禁止
  • maxretry:是主机被禁止之前的失败次数

 

如何配置服务

Fail2Ban 带有一组预定义的过滤器,用于各种服务,如 ssh、apache、nginx、squid、named、mysql、nagios 等。 我们不希望对配置文件进行任何更改,只需在服务区域中添加 enabled = true 这一行就可以启用任何服务。 禁用服务时将 true 改为 false 即可。

  1. # SSH servers
  2. [sshd]
  3. enabled = true
  4. port = ssh
  5. logpath = %(sshd_log)s
  6. backend = %(sshd_backend)s
  • enabled: 确定服务是打开还是关闭。
  • port:指明特定的服务。 如果使用默认端口,则服务名称可以放在这里。 如果使用非传统端口,则应该是端口号。
  • logpath:提供服务日志的位置
  • backend:指定用于获取文件修改的后端。

 

重启 Fail2Ban

进行更改后,重新启动 Fail2Ban 才能生效。

  1. [For SysVinit Systems]
  2. # service fail2ban restart
  3.  
  4. [For systemd Systems]
  5. # systemctl restart fail2ban.service

 

验证 Fail2Ban iptables 规则

你可以使用下面的命令来确认是否在防火墙中成功添加了Fail2Ban iptables 规则。

  1. # iptables -L
  2. Chain INPUT (policy ACCEPT)
  3. target prot opt source destination
  4. f2b-apache-auth tcp -- anywhere anywhere multiport dports http,https
  5. f2b-sshd tcp -- anywhere anywhere multiport dports 1234
  6. ACCEPT tcp -- anywhere anywhere tcp dpt:1234
  7.  
  8. Chain FORWARD (policy ACCEPT)
  9. target prot opt source destination
  10.  
  11. Chain OUTPUT (policy ACCEPT)
  12. target prot opt source destination
  13.  
  14. Chain f2b-apache-auth (1 references)
  15. target prot opt source destination
  16. RETURN all -- anywhere anywhere
  17.  
  18. Chain f2b-sshd (1 references)
  19. target prot opt source destination
  20. RETURN all -- anywhere anywhere

 

如何测试 Fail2Ban

我做了一些失败的尝试来测试这个。 为了证实这一点,我要验证 /var/log/fail2ban.log 文件。

  1. 2017-11-05 14:43:22,901 fail2ban.server [7141]: INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6
  2. 2017-11-05 14:43:22,987 fail2ban.database [7141]: INFO Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
  3. 2017-11-05 14:43:22,996 fail2ban.database [7141]: WARNING New database created. Version '2'
  4. 2017-11-05 14:43:22,998 fail2ban.jail [7141]: INFO Creating new jail 'sshd'
  5. 2017-11-05 14:43:23,002 fail2ban.jail [7141]: INFO Jail 'sshd' uses poller {}
  6. 2017-11-05 14:43:23,019 fail2ban.jail [7141]: INFO Initiated 'polling' backend
  7. 2017-11-05 14:43:23,019 fail2ban.filter [7141]: INFO Set maxRetry = 5
  8. 2017-11-05 14:43:23,020 fail2ban.filter [7141]: INFO Set jail log file encoding to UTF-8
  9. 2017-11-05 14:43:23,020 fail2ban.filter [7141]: INFO Added logfile = /var/log/auth.log
  10. 2017-11-05 14:43:23,021 fail2ban.actions [7141]: INFO Set banTime = 600
  11. 2017-11-05 14:43:23,021 fail2ban.filter [7141]: INFO Set findtime = 600
  12. 2017-11-05 14:43:23,022 fail2ban.filter [7141]: INFO Set maxlines = 10
  13. 2017-11-05 14:43:23,070 fail2ban.server [7141]: INFO Jail sshd is not a JournalFilter instance
  14. 2017-11-05 14:43:23,081 fail2ban.jail [7141]: INFO Jail 'sshd' started
  15. 2017-11-05 14:43:23,763 fail2ban.filter [7141]: INFO [sshd] Found 103.5.134.167
  16. 2017-11-05 14:43:23,763 fail2ban.filter [7141]: INFO [sshd] Found 103.5.134.167
  17. 2017-11-05 14:43:23,764 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170
  18. 2017-11-05 14:43:23,764 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170
  19. 2017-11-05 14:43:23,765 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170
  20. 2017-11-05 14:43:23,765 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170
  21. 2017-11-05 15:19:06,192 fail2ban.server [7141]: INFO Stopping all jails
  22. 2017-11-05 15:19:06,874 fail2ban.jail [7141]: INFO Jail 'sshd' stopped
  23. 2017-11-05 15:19:06,879 fail2ban.server [7141]: INFO Exiting Fail2ban
  24. 2017-11-05 15:19:07,123 fail2ban.server [8528]: INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6
  25. 2017-11-05 15:19:07,123 fail2ban.database [8528]: INFO Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
  26. 2017-11-05 15:19:07,126 fail2ban.jail [8528]: INFO Creating new jail 'sshd'
  27. 2017-11-05 15:19:07,129 fail2ban.jail [8528]: INFO Jail 'sshd' uses poller {}
  28. 2017-11-05 15:19:07,141 fail2ban.jail [8528]: INFO Initiated 'polling' backend
  29. 2017-11-05 15:19:07,142 fail2ban.actions [8528]: INFO Set banTime = 60
  30. 2017-11-05 15:19:07,142 fail2ban.filter [8528]: INFO Set findtime = 60
  31. 2017-11-05 15:19:07,142 fail2ban.filter [8528]: INFO Set jail log file encoding to UTF-8
  32. 2017-11-05 15:19:07,143 fail2ban.filter [8528]: INFO Set maxRetry = 3
  33. 2017-11-05 15:19:07,144 fail2ban.filter [8528]: INFO Added logfile = /var/log/auth.log
  34. 2017-11-05 15:19:07,144 fail2ban.filter [8528]: INFO Set maxlines = 10
  35. 2017-11-05 15:19:07,189 fail2ban.server [8528]: INFO Jail sshd is not a JournalFilter instance
  36. 2017-11-05 15:19:07,195 fail2ban.jail [8528]: INFO Jail 'sshd' started
  37. 2017-11-05 15:20:03,263 fail2ban.filter [8528]: INFO [sshd] Found 103.5.134.167
  38. 2017-11-05 15:20:05,267 fail2ban.filter [8528]: INFO [sshd] Found 103.5.134.167
  39. 2017-11-05 15:20:12,276 fail2ban.filter [8528]: INFO [sshd] Found 103.5.134.167
  40. 2017-11-05 15:20:12,380 fail2ban.actions [8528]: NOTICE [sshd] Ban 103.5.134.167
  41. 2017-11-05 15:21:12,659 fail2ban.actions [8528]: NOTICE [sshd] Unban 103.5.134.167

要查看启用的监狱列表,请运行以下命令。

  1. # fail2ban-client status
  2. Status
  3. |- Number of jail:  2
  4. `- Jail list:   apache-auth, sshd

通过运行以下命令来获取禁止的 IP 地址。

  1. # fail2ban-client status ssh
  2. Status for the jail: ssh
  3. |- filter
  4. | |- File list: /var/log/auth.log
  5. | |- Currently failed: 1
  6. | `- Total failed: 3
  7. `- action
  8.  |- Currently banned: 1
  9.  | `- IP list: 192.168.1.115
  10.  `- Total banned: 1

要从 Fail2Ban 中删除禁止的 IP 地址,请运行以下命令。

  1. # fail2ban-client set ssh unbanip 192.168.1.115 
责任编辑:庞桂玉 来源: Linux中国
LinuxFail2Ban服务器
相关推荐
如何在CentOS 6/7移除被Fail2ban禁止的IP
fail2ban是一款用于保护你的服务器免于暴力攻击的入侵保护软件。如果你已经安装并使用了fail2ban来保护你的web服务器,你也许会想知道如何在CentOS6、CentOS7、RHEL6、RHEL7和OracleLinux67中找到被fail2ban阻止的IP,或者你想将ip从fail2ban监狱中移除。

2015-12-10 11:04:31

如何使用fail2ban防御SSH服务器暴力破解攻击
在该教程中,我演示了如何安装并配置fail2ban来保护一个SSH服务器。当然fail2ban可以缓解暴力密码攻击,但是请注意,这并不能保护SSH服务器避免来自复杂的分布式暴力破解组织,这些攻击者通过使用成千上万个机器控制的IP地址来绕过fail2ban的防御机制。

2015-03-17 09:50:00

如何通过配置fail2ban保护Apache HTTP服务器?
生产环境中的ApacheHTTP服务器可能会遭到各种不同方式的攻击。攻击者可能采用蛮力攻击或执行恶意脚本,企图访问未经授权的目录或禁止访问的目录。一些恶意机器人程序可能会扫描你的网站,查找任何可能存在的安全漏洞,或者收集电子邮件地址或网站表单,以便发送垃圾邮件。

2015-01-06 09:03:18

fail2ban暴力破解介绍使用
fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作,如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送email通知系统管理员,是一款很实用、很强大的软件!

2014-09-24 09:27:02

使用badIPs.com保护你的服务器,并通过Fail2ban报告恶意IP
这篇指南向你介绍使用badips滥用追踪器(abusetracker)和Fail2ban保护你的服务器或计算机的步骤。我已经在Debian8Jessie和Debian7Wheezy系统上进行了测试。

2017-05-03 16:00:02

Linux数据安全服务器
力保密码安全 fail2ban暴力破解实战
作为网管需要随时监控系统运行状况,更要对异常情况作出有力的反击。此次网管员和黑客之间的战争,起源是这样的:一天下午,网管员突然收到Nagios的报警邮件,说邮件服务器的进程数超过阀值。

2012-09-06 09:53:49

使用fail2ban和FirewallD黑名单保护你的系统
如果你运行的服务器有面向公众的SSH访问,你可能遇到过恶意登录尝试。本文介绍了如何使用两个实用程序来防止入侵者进入我们的系统。

2020-07-15 20:32:45

fail2banFirewallD系统运维
微软:警惕针对 MSSQL 服务器暴力攻击
微软正对使用MicrosoftSQLServer(MSSQL)数据库服务器的用户发出安全警告,警惕攻击者利用弱密码对暴露在网络上的MSSQL发动暴力攻击。

2022-05-19 14:36:54

SQL Server服务器暴力攻击
主动式防火墙fail2ban的安装与配置
这个fail2ban是很方便的一个工具,几乎不需要太多的配置。可能有的人需要通过程序端,例如php进行防火墙的操作,正如我现在所做的一样,程序会定期将IP写入一个文件中,通过过滤器直接取出ip进行封堵即可。

2014-06-13 09:15:48

如何防止黑客暴力攻击网络入侵
什么是暴力工具呢暴力攻击的一个具体例子就是,一个黑客试图使用计算机和信息去破解一个密码。一个黑客需要破解—段单一的被用非对称密钥加密的信息,为了破解这种算法...

2009-10-21 14:44:11

如何使用 SSHGUARD 阻止 SSH 暴力攻击
在本指南中,我们将演示如何安装和配置SSHGuard以阻止Linux服务器中的SSH暴力攻击。

2022-04-25 08:18:18

Linux 服务器SSH 暴力攻击
Apache服务器模块保护您的网站免受应用层DOS攻击
有多种可以导致网站下线的攻击方法,比较复杂的方法要涉及数据库和编程方面的技术知识。一个更简单的方法被称为“拒绝服务”(DOS)攻击。这个攻击方法的名字来源于它的意图:使普通客户或网站访问者的正常服务请求被拒绝。

2018-02-05 15:10:35

Crowdsec:一款面向Linux的现代化协作式大型多人防火墙
CrowdSec是一款大型多人防火墙,旨在通过服务器端代理保护互联网上敞开的Linux服务器、服务、容器或虚拟机。它受Fail2Ban的启发,旨在成为这款入侵防御工具的现代化协作版本。

2021-03-03 08:00:00

CrowdSec防火墙Linux
如何在Linux建立DNS服务器
在Linux上建立DNS服务器分为四个步骤,具体内容请参见下文。

2009-07-15 09:42:46

如何在 Linux 设置 TFTP 服务器
您知道流行的文件传输协议有一个更简单的替代方案吗?它就是TFTP,以下是在Linux上设置它的方法。

2022-07-18 10:15:14

文件传输协议TFTPLinux
如何保护物联网设备免受攻击?
物联网从物理系统和虚拟系统中收集了大量的数据,增加了数据脆弱性。如果没有适当的安全保护,物联网设备很容易成为黑客和网络犯罪分子的目标。

2022-06-13 10:18:13

物联网IoT
如何保护网站免受黑客攻击
不管是什么原因,对网站的攻击可能会很痛苦,并且可能会带来灾难性的后果。攻击者通常尝试利用应用程序中发现的安全漏洞。攻击的各个阶段通常可以认为如下。

2019-10-29 05:00:58

黑客攻击网络安全
如何保护物理资产免受网络攻击
最近的网络攻击使物理资产瘫痪甚至关闭。正如ABB的全球网络安全服务经理,RobPutman解释的那样,强大的基础安全和培训人员能够识别攻击有助于减轻威胁。

2021-11-09 15:16:49

物联网物理资产IoT
如何在 Linux 设置私有 Git 服务器
Git是全球开发人员使用的开源版本控制系统。下面介绍如何创建自己的GitLinux服务器来托管项目。

2022-08-24 08:33:27

Git系统Linux
防止fork暴力攻击Linux新增Brute安全模块
Linux的很多严重的漏洞,尤其是提权漏洞都使用了暴力fork()系统调用导致内核崩溃,为了一劳永逸的解决此类漏洞,Linux安全模块(LSM)新增加了一个“Brute”模块,以检测和阻止这类攻击。

2021-03-19 08:59:42

forkLinux漏洞
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服