fail2ban的简单介绍
Fail2ban 能够监控系统日志,匹配日志中的错误信息(使用正则表达式),执行相应的屏蔽动作(支持多种,一般为调用 iptables ),是一款很实用、强大的软件。
如:攻击者不断尝试穷举 SSH 、SMTP 、FTP 密码等,只要达到预设值,fail2ban 就会调用防火墙屏蔽此 IP ,并且可以发送邮件通知系统管理员。
功能、特性:
1、支持大量服务:sshd 、apache 、qmail 等
2、支持多作动作:iptables 、tcp-wrapper 、shorewall 、mail notifications 等
3、logpath 选项中支持通配符
4、需要 Gamin 支持(Gamin 用于监控文件和目录是否更改)
5、如果需要邮件通知,则系统事先要确保能够正常发送邮件
fail2ban防止暴力破解
官网
http://www.fail2ban.org
1.下载安装包
wget https://github.com/fail2ban/fail2ban/archive/0.8.14.tar.gz && tar -xvzf 0.8.14.tar.gz
2.解压后查看说明
tar zxf fail2ban-0.8.12
cd fail2ban-0.8.12
cat README.md
3.检查环境
[root@localhost ~]# python -V
Python 2.7.5
[root@localhost ~]# uname -r
3.10.0-693.el7.x86_64
4.安装
cd fail2ban-0.8.12
python setup.py install
5.生成服务启动脚本并开机自启:
cp files/redhat-initd /etc/init.d/fail2ban
/sbin/chkconfig fail2ban on
文件目录结构
/etc/fail2ban ## fail2ban 服务配置目录
/etc/fail2ban/action.d ## iptables 、mail 等动作文件目录
/etc/fail2ban/filter.d ## 条件匹配文件目录,过滤日志关键内容
/etc/fail2ban/jail.conf ## fail2ban 防护配置文件
/etc/fail2ban/fail2ban.conf ## fail2ban 配置文件,定义日志级别、日志、sock 文件位置等
fail2ban.conf配置文件
[Definition]
loglevel = 3 ## 定义日志级别,默认
logtarget = /var/log/fail2ban.log ## 定义 fail2ban 日志文件
socket = /var/run/fail2ban/fail2ban.sock ## sock 文件存放位置,默认
pidfile = /var/run/fail2ban/fail2ban.pid ## pid 文件存放位置,默认
jail.conf 防护配置
[DEFAULT] ## 全局设置,优先级最小
ignoreip = 127.0.0.1/8 ## 不受限制的 IP ,多组用空格分割
bantime = 600 ## 非法 IP 被屏蔽时间(秒),-1 代表永远封锁
findtime = 600 ## 设置多长时间(秒)内超过 maxretry 限制次数即被封锁
maxretry = 3 ## 最大尝试次数
backend = auto ## 日志修改检测机制(gamin 、polling 、auto 三种)
usedns = warn
[ssh-iptables] ## 分类设置(基于 SSHD 服务的防护)
enabled = true ## 是否开启防护,false 为关闭
filter = sshd ## 过滤规则 filter 名称,对应 filter.d 目录下的 sshd.conf
action = iptables[name=SSH, port=ssh, protocol=tcp] ## 动作参数
logpath = /var/log/secure ## 检测系统登陆日志文件
maxretry = 5 ## 最大尝试次数
7.启动
/etc/init.d/fail2ban start
8.测试
ssh 192.168.10.123
[root@localhost log]# ssh 192.168.10.194
ssh: connect to host 192.168.10.194 port 22: Connection refused
我们可以查看当前被禁止登陆的ip:
[root@121]# fail2ban-client status ssh-iptables
Status for the jail: ssh-iptables|- filter| |- File list: /var/log/secure #日志文件路径| |- Currently failed: 0 #当前失败次数| - Total failed: 3 #总失败次数
- action
|- Currently banned: 1 #当前禁止的ip数量
| - IP list: 192.168.1.112 #当前禁止的ip
- Total banned: 1 #禁止的ip总数
fail2ban邮件预警
fail2ban 利用sendmail 进行发邮件也可以用mail进行发邮件,在尝试了sendmail无果后,决定使用mail。
具体步骤:
4.1 在/etc/mail.rc末尾配置发件人的信息:
set ssl-verify=ignore
set from=djx
set smtp=smtps://mail.163.com:25
set smtp-auth-user=dj
set smtp-auth-password=
set smtp-auth=login
set nss-config-dir=/root/.certs
4.2 然后在jail.local(自己的配置文件里),加入:
mail-whois[name=SSH, [email protected], [email protected]]
dest 是填入收件人邮箱
sender 是填入 发送邮箱
最后重新加载下配置即可。
注意的问题:
时区问题:
http://www.fail2ban.org/wiki/index.php/FAQ_english:If time reference is not the same everywhere, then fail2ban won’t ban any IP!
当我们更改了时区后,然后日志的时间并没有修改过来,导致两者的时间不一致,这样fail2ban的工作就失效了
解决办法:重启日志服务:systemctl restart rsyslog,保证两者的时间一致。
修改端口问题:
sshd更改端口号后使用fail2ban需要注意在填写配置的时候也需要更改端口号。否则会出现就算会将ip添加到防火墙,但是由于我更改了端口号,是起不到禁止作用的。
解决方法:配置文件中 action = iptables[name=SSH, port=ssh, protocol=tcp] ,port位置修改为新的端口。