关于Fail2ban
Fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽)
例如:当有人在试探你的HTTP、SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的安全工具
在外网环境下,有很多的恶意扫描和密码猜测等恶意攻击行为,使用Fail2ban配合iptables/firewalld,实现动态防火墙是一个很好的解决方案
如下图所示,这是一台云主机,查看/var/log/secure可以看到有外网IP一直在进行SSH暴力破解
下面在CentOS7云主机部署Fail2ban阻断SSH暴力破解
1、配置epel源
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
sed -i -e '/mirrors.cloud.aliyuncs.com/d' -e '/mirrors.aliyuncs.com/d' /etc/yum.repos.d/CentOS-Base.repo
2、yum方式安装fail2ban
yum install fail2ban
3、配置fail2ban
默认情况下,Fail2Ban 将所有配置文件保存在 /etc/fail2ban/ 目录中。
主配置文件是 jail.conf,它包含一组预定义的过滤器。所以,不要编辑该文件,这是不可取的,因为只要有新的更新,配置就会重置为默认值。
只需在同一目录下创建一个名为 jail.local 的新配置文件,并根据您的意愿进行修改
修改如下几处
ignoreip = 127.0.0.1/8 ::1
bantime = 300
findtime = 300
maxretry = 8
参数解释
#ignoreip:本部分允许我们列出 IP 白名单地址列表,Fail2Ban 不会禁止与列表中的地址匹配的主机
#bantime:主机被禁止的秒数
#findtime:如果在最近 findtime 秒期间已经发生了 maxretry 次重试,则主机会被禁止
#maxretry:是主机被禁止之前的失败次数
Fail2Ban 带有一组预定义的过滤器,用于各种服务,如 ssh、apache、nginx、squid、named、mysql、nagios 等。
不需要对配置文件进行任何更改,只需在服务区域中添加 enabled = true 这一行就可以启用任何服务。
禁用服务时则将 true 改为 false 即可
修改配置文件中sshd段如下两处
enabled = true
port = 8322
参数解释
#enabled:确定服务是打开还是关闭。
#port:指明特定的服务。如果使用默认端口,则服务名称可以放在这里。如果使用非传统端口,则应该填写当前服务的端口号。
#logpath:提供服务日志的位置
#backend:指定用于获取文件修改的后端
4、启动fail2ban服务
启动fail2ban服务
systemctl start fail2ban.service
设置开机自启动fail2ban服务
systemctl enable fail2ban.service
查看fail2ban服务日志
tail -f /var/log/fail2ban.log
5、fail2ban相关命令用法
1)查看启用的监狱列表
fail2ban-client status
2)运行以下命令来获取sshd服务被禁止的 IP 地址
fail2ban-client status sshd
或者
fail2ban-client get sshd banip
可以iptables -nvL看到防火墙联动生成、被禁止IP对应的拒绝规则
3)要从 Fail2Ban 中删除禁止的 IP 地址
fail2ban-client set ssh unbanip 104.218.13.80