CentOS7云主机部署Fail2ban阻断SSH暴力破解_云主机

CentOS7云主机部署Fail2ban阻断SSH暴力破解_配置文件_02

CentOS7云主机部署Fail2ban阻断SSH暴力破解_云主机_03


关于Fail2ban

Fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽)

例如:当有人在试探你的HTTP、SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的安全工具

在外网环境下,有很多的恶意扫描和密码猜测等恶意攻击行为,使用Fail2ban配合iptables/firewalld,实现动态防火墙是一个很好的解决方案

如下图所示,这是一台云主机,查看/var/log/secure可以看到有外网IP一直在进行SSH暴力破解

CentOS7云主机部署Fail2ban阻断SSH暴力破解_配置文件_04

下面在CentOS7云主机部署Fail2ban阻断SSH暴力破解

1、配置epel源

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
sed -i -e '/mirrors.cloud.aliyuncs.com/d' -e '/mirrors.aliyuncs.com/d' /etc/yum.repos.d/CentOS-Base.repo

CentOS7云主机部署Fail2ban阻断SSH暴力破解_配置文件_05

2、yum方式安装fail2ban

yum install fail2ban

CentOS7云主机部署Fail2ban阻断SSH暴力破解_配置文件_06

3、配置fail2ban

默认情况下,Fail2Ban 将所有配置文件保存在 /etc/fail2ban/ 目录中。 

主配置文件是 jail.conf,它包含一组预定义的过滤器。所以,不要编辑该文件,这是不可取的,因为只要有新的更新,配置就会重置为默认值。 

只需在同一目录下创建一个名为 jail.local 的新配置文件,并根据您的意愿进行修改 

CentOS7云主机部署Fail2ban阻断SSH暴力破解_centos_07

修改如下几处

ignoreip = 127.0.0.1/8 ::1
bantime = 300
findtime = 300
maxretry = 8

CentOS7云主机部署Fail2ban阻断SSH暴力破解_centos_08

参数解释


#ignoreip:本部分允许我们列出 IP 白名单地址列表,Fail2Ban 不会禁止与列表中的地址匹配的主机

#bantime:主机被禁止的秒数

#findtime:如果在最近 findtime 秒期间已经发生了 maxretry 次重试,则主机会被禁止 

#maxretry:是主机被禁止之前的失败次数

Fail2Ban 带有一组预定义的过滤器,用于各种服务,如 ssh、apache、nginx、squid、named、mysql、nagios 等。 

不需要对配置文件进行任何更改,只需在服务区域中添加 enabled = true 这一行就可以启用任何服务。

禁用服务时则将 true 改为 false 即可 

修改配置文件中sshd段如下两处

enabled = true
port = 8322

CentOS7云主机部署Fail2ban阻断SSH暴力破解_云主机_09

参数解释 

#enabled:确定服务是打开还是关闭。 

#port:指明特定的服务。如果使用默认端口,则服务名称可以放在这里。如果使用非传统端口,则应该填写当前服务的端口号。

#logpath:提供服务日志的位置 

#backend:指定用于获取文件修改的后端

4、启动fail2ban服务

启动fail2ban服务
systemctl start fail2ban.service
设置开机自启动fail2ban服务
systemctl enable fail2ban.service
查看fail2ban服务日志
tail -f /var/log/fail2ban.log

CentOS7云主机部署Fail2ban阻断SSH暴力破解_云主机_10

5、fail2ban相关命令用法

1)查看启用的监狱列表

fail2ban-client status

CentOS7云主机部署Fail2ban阻断SSH暴力破解_云主机_11

2)运行以下命令来获取sshd服务被禁止的 IP 地址


fail2ban-client status sshd

或者

fail2ban-client get sshd banip

CentOS7云主机部署Fail2ban阻断SSH暴力破解_centos_12

可以iptables -nvL看到防火墙联动生成、被禁止IP对应的拒绝规则

CentOS7云主机部署Fail2ban阻断SSH暴力破解_centos_13

3)要从 Fail2Ban 中删除禁止的 IP 地址

fail2ban-client set ssh unbanip 104.218.13.80