共计 2311 个字符,预计需要花费 6 分钟才能阅读完成。
每个 IT 经营团队的首要任务是确保服务器平安,不受未经受权的用户或歹意脚本的侵害。您能够利用许多解决方案来抵挡攻打和毁坏,其中就包含 Fail2ban 软件计划。
Fail2ban 是一种开源的入侵检测措施,能够加重针对各种服务 (例如 SSH 和 VSFTPD) 的暴力攻打。它提供了包含 SSH 在内的一系列过滤器,您能够自定义这些过滤器来更新防火墙规定,并阻止未经受权的 SSH 登录尝试。
fail2ban 监控服务器日志文件,监测其中的任何入侵尝试,并在预约义次数的失败尝试后,在指定的持续时间内阻止用户的 IP 地址。用户的 IP 被搁置在一个 jail 中,能够在 /etc/fail2ban/jail.conf 配置文件中设置、启用或禁用该 jail。它有助于爱护您的 Linux 服务器免受未经受权的拜访,更具体地说,免受僵尸网络和歹意脚本的拜访。
jail 由以下几个要害因素组成:
- 要剖析的日志文件
- 要利用在日志文件上的过滤器
- 当过滤器匹配时要采取的操作
- 用于具体阐明匹配类型的其余参数,例如:maxtry (最大尝试) 和 bantime (禁止工夫) 等。
在本教程中,咱们将疏导您在 RHEL 8 / CentOS 8 上装置和配置 Fail2ban。
(1) 装置 EPEL 存储库
按如下形式装置 EPEL (Extra Package for Enterprise Linux) 包
For CentOS 8
$ sudo dnf install -y epel-releaseFor RHEL 8
$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm -y(2) 装置 Fail2ban
要装置 Fail2ban,请运行上面的命令
$ sudo dnf install -y fail2ban(3) 配置 Fail2ban
依照设计,fail2ban 将解析日志文件,并尝试匹配过滤器中指定的 failregex。过滤器会挑选出特定服务失败的身份验证尝试,例如,应用正则表达式 regex 匹配出 SSH 登录尝试。当日志条目中的最大次数达到最大值时,将触发一个动作。
默认状况下,产生 3 次身份验证失败后,用户将被禁止或被关进“jail”10 分钟。这些参数能够很容易地在 /etc/fail2ban/jail.conf 文件中配置,该文件是全局配置文件。
所有重要的配置文件都位于 /etc/fail2ban/ 目录下。
过滤器寄存在 /etc/fail2ban/filter.d 目录下。有几十种过滤器用于各种服务,包含 SSH、Webmin、postfix 等等。
/etc/fail2ban/jail.conf 是主配置文件。不倡议间接批改此文件,配置很可能会在当前的散发更新中被笼罩或改良。
[
解决办法是在 /etc/fail2ban/jail.d 目录中创立一个监狱.local 文件,并为要爱护的所需服务增加自定义配置。
出于演示目标,咱们将创立一个用于爱护 SSH 连贯的 jail 文件。
$ sudo vim /etc/fail2ban/jail.local上面是示例配置文件内容:
[DEFAULT]
ignoreip = 192.168.2.105
bantime = 86400
findtime = 300
maxretry = 3
banaction = iptables-multiport
backend = systemd
[sshd]
enabled = true让咱们合成这些参数,看看它们代表什么。
- ignoreip – 定义不禁止的 IP 地址或域名列表
- bantime – 顾名思义,这指定以秒为单位禁止近程主机的持续时间
- maxretry – 这是主机被阻止 / 禁止之前失败的登录尝试次数
- findtime – maxtry 尝试后主机将被阻塞的持续时间(秒)
- banaction –禁止的动作
- backend – 用于获取日志文件的零碎
咱们的配置蕴含以下内容:
当一个 IP 地址在最近 5 分钟内有 3 次认证失败的记录时,该 IP 地址将被禁止 24 小时 (IP 为 192.168.2.105 的主机除外)
保留并退出配置文件。
(4) 开启 Fail2ban
配置好 SSH 的 jail 文件后,咱们将启动并在系统启动时启用 fail2ban。
$ sudo systemctl start fail2ban
$ sudo systemctl enable fail2ban要确认 fail2ban 的状态,执行上面的命令
$ sudo systemctl status fail2ban咱们能够察看到 fail2ban 按预期运行
当初咱们持续,看看 Fail2ban 是如何工作的。
(4) Fail2ban 实战演练
当初让咱们更进一步,看看 Fail2ban 的实战演练。为了监督被禁止的 IP 地址,fail2ban-client 实用程序派上了用场。例如,要获取 ssh jail 的状态,能够应用该命令
$ sudo fail2ban-client status sshd目前,还没有禁止的 IP 条目,因为咱们还没有近程登录到服务器。
咱们将应用 putty SSH 客户端从一台 Windows PC 上登录,IP 与 jail.local 中指定的 IP 不同。
从输入中,咱们能够分明地看到咱们无法访问服务器。当咱们再次查看状态时,咱们发现一个 IP 曾经被禁止,如图所示。
如果须要将 IP 从禁用列表中删除,请执行以下操作解除禁用。
$ sudo fail2ban-client unban 192.168.2.101要查看对于 fail2ban 规定和策略的更多信息,请拜访 jail.conf 手册页
$ man jail.conf我的开源我的项目
- course-tencent-cloud(酷瓜云课堂 – gitee 仓库)
- course-tencent-cloud(酷瓜云课堂 – github 仓库)
