首页 / 操作系统 / Linux / CentOS下安装fail2ban防暴力破解工具

前言：首先说说为什么笔者会想到写这篇博客，源于昨天下午，突然收到Nagios的报警邮件，说邮件服务器的进程数超过阀值。于是赶紧登录上去查看。 这里说下分析的过程：1.既然说进程数超过阀值，肯定先查看进程：ps -ef；2.如果不能即时看到问题，那就动态显示：top，看看究竟是哪个程序占用这么多进程；3.最后确定了应该是courier-imap，但还不知道是什么原因导致；4.查看ip连接，确认是否是其存在问题：netstat -ant，发现有大量的110连接；650） this.width=650;" border=0>5.既然是收信服务，那就赶紧追踪查看邮件日志：tail -f /var/log/maillog；6.发现问题：日志里有大量的登录错误信息，发现是同一ip，并在用不同的用户名密码来暴力破解 650） this.width=650;" border=0>7.稍等一会，确定目标IP后，将其ip的包丢弃：iptables -I INPUT -s 176.61.143.41 -j DROP   #此ip为真实攻击ip，所以在此曝光8.稍等一会，再次查看进程，进程数有明显下降，故障解决。 

---

 介于这种安全隐患的存在，我们以后可以利用fail2ban来实现防暴力破解，防止恶意攻击。下面就来说说fail2ban具体是什么。简介：fail2ban可以监视你的系统日志，然后匹配日志的错误信息（正则式匹配）执行相应的屏蔽动作（一般情况下是调用防火墙屏蔽），如:当有人在试探你的SSH、SMTP、FTP密码，只要达到你预设的次数，fail2ban就会调用防火墙屏蔽这个IP，而且可以发送e-mail通知系统管理员，是一款很实用、很强大的软件！ 功能和特性： 1、支持大量服务。如sshd,apache,qmail,proftpd,sasl等等 2、支持多种动作。如iptables,tcp-wrapper,shorewall（iptables第三方工具）,mail notifications（邮件通知）等等。 3、在logpath选项中支持通配符 4、需要Gamin支持（注：Gamin是用于监视文件和目录是否更改的服务工具） 5、需要安装python,iptables,tcp-wrapper,shorewall,Gamin。如果想要发邮件，那必需安装postfix或sendmail核心原理：其实fail2ban就是用来监控，具体是调用iptables来实现动作！好了，那下面来说说具体怎么安装、部署吧。一、首先是服务安装首先配置yum源，这里采用的是yum直接装（也可源码安装） vim /etc/yum.repos.d/CentOS-Base.repo在最后新增：

1. [atrpms] 
2. name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms 
3. baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable 
4. gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms 
5. gpgcheck=1 
6. enabled=1 

然后直接就yum装：yum -y install fail2ban安装完成后，服务配置目录为：/etc/fail2ban/etc/fail2ban/action.d                #动作文件夹，内含默认文件。iptables以及mail等动作配置/etc/fail2ban/fail2ban.conf           #定义了fai2ban日志级别、日志位置及sock文件位置/etc/fail2ban/filter.d                #条件文件夹，内含默认文件。过滤日志关键内容设置/etc/fail2ban/jail.conf               #主要配置文件，模块化。主要设置启用ban动作的服务及动作阀值/etc/rc.d/init.d/fail2ban             #启动脚本文件 二、安装后配置首先来看看日志文件的默认定义：cat /etc/fail2ban/fail2ban.conf |grep -v ^#

1. [Definition] 
2. loglevel = 3 
3. logtarget = SYSLOG              #我们需要做的就是把这行改成/var/log/fail2ban.log，方便用来记录日志信息 
4. socket = /var/run/fail2ban/fail2ban.sock 

再来看看主配置默认生效的配置：cat /etc/fail2ban/jail.conf |grep -v ^# |less 

1. [DEFAULT]                                 #全局设置 
2. ignoreip = 127.0.0.1                      #忽略的IP列表,不受设置限制（白名单） 
3. bantime  = 600                            #屏蔽时间，单位：秒 
4. findtime  = 600                           #这个时间段内超过规定次数会被ban掉 
5. maxretry = 3                              #最大尝试次数 
6. backend = auto                            #日志修改检测机制（gamin、polling和auto这三种） 
7.  
8. [ssh-iptables]                            #针对各服务的检查配置，如设置bantime、findtime、maxretry和全局冲突，服务优先级大于全局设置 
9. enabled  = true                           #是否激活此项（true/false） 
10. filter   = sshd                           #过滤规则filter的名字，对应filter.d目录下的sshd.conf 
11. action   = iptables[name=SSH, port=ssh, protocol=tcp]                                                                        #动作的相关参数 
12.            sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]   #触发报警的收件人 
13. logpath  = /var/log/secure                #检测的系统的登陆日志文件 
14. maxretry = 5                              #最大尝试次数 

PS：logpath（Centos5和Rhel5中）要写成/var/log/secure，这个是系统登陆日志，不能随意设置 service fail2ban start                     #启动服务即可（就用默认的主配置文件里定义的）service iptables start                     #fail2ban依赖预iptables                                                    #之前改过日志路径，不行的话就再重启fail2ban 

1 2 下一页

定制并硬盘安装ArchLinux 20120804版log4cxx在Linux下的编译使用相关资讯      Fail2ban 

查看fail2ban日志代替lastb查看登  （06月17日） 如何配置 fail2ban 来保护 Apache   （06/20/2015 11:29:06） 用fail2ban阻止密码尝试攻  （02/02/2015 14:32:33）

如何在 CentOS 6/7 上移除被   （12/09/2015 22:32:18） 如何使用 fail2ban 防御 SSH 服务  （03/17/2015 07:36:22） Linux下 用 fail2ban 防止攻击  （10/30/2012 13:46:24）

本文评论 查看全部评论 （0）

表情： 姓名： 匿名字数 <div style="text-align: center;padding:20px;"> <button class="layui-btn layui-bg-purple" id="dofav">收藏该网址</button> </div> </div> </div> <div class="copyright"> <div id="footbar"> 版权所有©石家庄振强科技有限公司2024 <a href="https://beian.miit.gov.cn" target="_blank">冀ICP备08103738号-5</a> <a href="/storage/sitemap.xml">网站地图</a> </div> </div> <script> var _mtj = _mtj || []; (function () { var mtj = document.createElement("script"); mtj.src = "https://node12.aizhantj.com:21233/tjjs/?k=p2tceukth5c"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(mtj, s); })(); </script> <script src="/static/lib/layui/layui.js"></script> <script src="/static/lib/jquery/jquery.js"></script> <script src="/static/lib/ajax.js"></script> <script> layui.use(function () { var layer = layui.layer; var $ = layui.jquery; $("#dofav").click(function () { var artid = $(".article").attr("artid"); var params={ artid:artid, addtype:'escdns_article', t:Math.random() }; if(artid>0){ ajax.request({ method: "/index/article/addfavorite", type: "post", callback: function (res) { layer.msg(res.msg); } },params); } }) }) </script> </body> </html>