关于rhel:如何在-RHEL-8-CentOS-8-上安装使用-Fail2Ban

32次阅读

共计 2311 个字符,预计需要花费 6 分钟才能阅读完成。

每个 IT 经营团队的首要任务是确保服务器平安,不受未经受权的用户或歹意脚本的侵害。您能够利用许多解决方案来抵挡攻打和毁坏,其中就包含 Fail2ban 软件计划。

Fail2ban 是一种开源的入侵检测措施,能够加重针对各种服务 (例如 SSH 和 VSFTPD) 的暴力攻打。它提供了包含 SSH 在内的一系列过滤器,您能够自定义这些过滤器来更新防火墙规定,并阻止未经受权的 SSH 登录尝试。

fail2ban 监控服务器日志文件,监测其中的任何入侵尝试,并在预约义次数的失败尝试后,在指定的持续时间内阻止用户的 IP 地址。用户的 IP 被搁置在一个 jail 中,能够在 /etc/fail2ban/jail.conf 配置文件中设置、启用或禁用该 jail。它有助于爱护您的 Linux 服务器免受未经受权的拜访,更具体地说,免受僵尸网络和歹意脚本的拜访。

jail 由以下几个要害因素组成:

  • 要剖析的日志文件
  • 要利用在日志文件上的过滤器
  • 当过滤器匹配时要采取的操作
  • 用于具体阐明匹配类型的其余参数,例如:maxtry (最大尝试) 和 bantime (禁止工夫) 等。

在本教程中,咱们将疏导您在 RHEL 8 / CentOS 8 上装置和配置 Fail2ban。

(1) 装置 EPEL 存储库

按如下形式装置 EPEL (Extra Package for Enterprise Linux) 包

For CentOS 8

$ sudo dnf install -y epel-release

For RHEL 8

$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm -y

(2) 装置 Fail2ban

要装置 Fail2ban,请运行上面的命令

$ sudo dnf install -y fail2ban

(3) 配置 Fail2ban

依照设计,fail2ban 将解析日志文件,并尝试匹配过滤器中指定的 failregex。过滤器会挑选出特定服务失败的身份验证尝试,例如,应用正则表达式 regex 匹配出 SSH 登录尝试。当日志条目中的最大次数达到最大值时,将触发一个动作。

默认状况下,产生 3 次身份验证失败后,用户将被禁止或被关进“jail”10 分钟。这些参数能够很容易地在 /etc/fail2ban/jail.conf 文件中配置,该文件是全局配置文件。
所有重要的配置文件都位于 /etc/fail2ban/ 目录下。

过滤器寄存在 /etc/fail2ban/filter.d 目录下。有几十种过滤器用于各种服务,包含 SSH、Webmin、postfix 等等。

/etc/fail2ban/jail.conf 是主配置文件。不倡议间接批改此文件,配置很可能会在当前的散发更新中被笼罩或改良。

[

解决办法是在 /etc/fail2ban/jail.d 目录中创立一个监狱.local 文件,并为要爱护的所需服务增加自定义配置。

出于演示目标,咱们将创立一个用于爱护 SSH 连贯的 jail 文件。

$ sudo vim /etc/fail2ban/jail.local

上面是示例配置文件内容:

[DEFAULT]
ignoreip = 192.168.2.105
bantime  = 86400
findtime  = 300
maxretry = 3
banaction = iptables-multiport
backend = systemd
[sshd]
enabled = true

让咱们合成这些参数,看看它们代表什么。

  • ignoreip – 定义不禁止的 IP 地址或域名列表
  • bantime – 顾名思义,这指定以秒为单位禁止近程主机的持续时间
  • maxretry – 这是主机被阻止 / 禁止之前失败的登录尝试次数
  • findtime – maxtry 尝试后主机将被阻塞的持续时间(秒)
  • banaction –禁止的动作
  • backend – 用于获取日志文件的零碎

咱们的配置蕴含以下内容:

当一个 IP 地址在最近 5 分钟内有 3 次认证失败的记录时,该 IP 地址将被禁止 24 小时 (IP 为 192.168.2.105 的主机除外)

保留并退出配置文件。

(4) 开启 Fail2ban

配置好 SSH 的 jail 文件后,咱们将启动并在系统启动时启用 fail2ban。

$ sudo systemctl start fail2ban
$ sudo systemctl enable fail2ban

要确认 fail2ban 的状态,执行上面的命令

$ sudo systemctl status fail2ban

咱们能够察看到 fail2ban 按预期运行

当初咱们持续,看看 Fail2ban 是如何工作的。

(4) Fail2ban 实战演练

当初让咱们更进一步,看看 Fail2ban 的实战演练。为了监督被禁止的 IP 地址,fail2ban-client 实用程序派上了用场。例如,要获取 ssh jail 的状态,能够应用该命令

$ sudo fail2ban-client status sshd

目前,还没有禁止的 IP 条目,因为咱们还没有近程登录到服务器。

咱们将应用 putty SSH 客户端从一台 Windows PC 上登录,IP 与 jail.local 中指定的 IP 不同。

从输入中,咱们能够分明地看到咱们无法访问服务器。当咱们再次查看状态时,咱们发现一个 IP 曾经被禁止,如图所示。

如果须要将 IP 从禁用列表中删除,请执行以下操作解除禁用。

$ sudo fail2ban-client unban 192.168.2.101

要查看对于 fail2ban 规定和策略的更多信息,请拜访 jail.conf 手册页

$ man jail.conf

我的开源我的项目

  • course-tencent-cloud(酷瓜云课堂 – gitee 仓库)
  • course-tencent-cloud(酷瓜云课堂 – github 仓库)

正文完
 0