服务器遭遇暴力破解,封禁恶意IP——fail2ban工具使用

最新推荐文章于 2024-05-14 04:25:06 发布
最新推荐文章于 2024-05-14 04:25:06 发布
阅读量1.6k 收藏 26
点赞数 36
分类专栏: 服务器安全 文章标签: 服务器 tcp/ip 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Selinu/article/details/136510548
版权

针对服务器频繁遭受密码破解尝试的情况,使用fail2ban是一种有效的防御手段。fail2ban能够监控服务器日志文件(如SSH登录尝试),并自动将显示恶意行为的IP地址封禁,从而减少对服务的攻击和未授权访问。

基本使用

以下是如何配置fail2ban来实现个人需求,下例为“在密码输入错误一次后永久封禁该IP地址”的步骤:

安装fail2ban

如果系统尚未安装fail2ban,可以通过包管理器安装:

  • 对于基于Debian的系统(如Ubuntu):

     sudo apt-get update
 sudo apt-get install fail2ban

  • 对于基于RPM的系统(如CentOS):

     sudo yum install epel-release
 sudo yum install fail2ban

配置fail2ban

  1. 创建配置文件的本地副本

    fail2ban读取/etc/fail2ban/jail.conf文件,但推荐不直接修改这个文件,而是创建一个本地副本jail.local进行自定义设置,因为jail.conf可能会在包更新时被覆盖。

     sudo cp /etc/fail2ban/jail.{conf,local}

  2. 编辑jail.local文件

    使用文本编辑器编辑/etc/fail2ban/jail.local文件。你需要添加或修改以下段落来满足“密码输入错误一次后永久封禁”这一需求。

     [DEFAULT]
 bantime = -1  # 永久封禁
 findtime = 60  # 在60秒的时间窗口内考虑失败尝试
 maxretry = 1  # 最大尝试次数为1
 ​
 [sshd]
 enabled = true

    • bantime = -1表示被封禁的IP地址将永久不被允许访问。

    • findtimemaxretry的组合意味着如果在60秒内有1次失败尝试,就触发封禁动作。

  3. 重启fail2ban服务

    应用配置更改后,需要重启fail2ban服务:

     ​
 sudo systemctl restart fail2ban

查看和管理封禁的IP地址

  • 查看被fail2ban封禁的IP地址列表:

     sudo fail2ban-client status sshd

  • 解封某个特定的IP地址:

     sudo fail2ban-client set sshd unbanip IP_ADDRESS
 ​
 eg:
 # fail2ban解封命令:
 fail2ban-client set [$JAIL_Name] unbanip [xx.xx.xx.xx]
 fail2ban-client set sshd unbanip 192.168.5.25

注意事项

  • maxretry设置为1和永久封禁(bantime = -1)是一个非常严格的策略,可能会导致误封合法用户。建议在应用这样的策略之前仔细考虑潜在的后果。

  • 定期检查和维护封禁列表,以确保没有误封的IP地址。

扩展

加入模块

由于一些原因,eg服务器无法使用ssh的22端口正常远程登录,故做了nginx转发来进行远程登录。但这意味着,如果恶意IP是通过nginx转发来破解密码登录的话,在lastb下显示的则是127.0.0.1的本机IP,无法直接查看到源IP。针对于这一现象,加入在fail2ban工具中加入

eg:监狱nginx转发日志,来封禁日志中的异常IP

  1. 首先撰写该模块conf文件,该conf文件中failregex的信息,具体根据nginx转发日志模块的信息编写,以下为本eg服务器的参考。

    vim /etc/fail2ban/filter.d/nginx-ssh.conf

     [Definition]
 failregex = ^<HOST> \[.*\] TCP 200 .* "127\.0\.0\.1:22" ".*" ".*" ".*"$
 ignoreregex =

  2. jail.local中加入该模块信息

    [nginx-ssh]
enabled = true
filter = nginx-ssh
logpath = /usr/local/nginx/conf/tcp.d/tcp-access.log
maxretry = 5
findtime = 6000
bantime = -1
port = all	#意为封禁该ip访问服务器所有端口

  3. 重启服务

    systemctl restart fail2-ban

  4. 查看

    fail2ban-client status nginx-ssh

    Status for the jail: nginx-ssh |- Filter | |- Currently failed: 22 | |- Total failed: 281 | - File list: /usr/local/nginx/conf/tcp.d/tcp-access.log- Actions |- Currently banned: 15 |- Total banned: 15 `- Banned IP list: 124.152.99.57 45.183.247.34 223.99.54.6 108.179.217.143 87.107.190.59 103.78.12.14 80.94.92.68 218.17.142.207 171.106.204.37 134.122.41.53 168.76.123.59 103.154.184.109 162.215.216.231 172.245.91.171 115.204.226.136

---------------------

---------------------

 

Yulooy
关注
  • 36
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
fail2ban-blacklist:将禁止的IP保存在平面文件中,以供以后使用和导入
05-22
使用Fail2ban进行永久IP禁止 描述 该项目允许您通过一些非常基本的python脚本将fail2ban禁止使用的所有IP保存到黑名单文件中。 Fail2ban将在每次重新启动时禁止黑名单中的所有IP。 (请参阅:其他说明) 安装 警告...
Nginx如何封禁IPIP段的实现
09-29
主要介绍了Nginx如何封禁IPIP段的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
fail2ban--服务器遭遇暴力破解的福音
baidu_38662087的博客
11-15 1228
作为服务器管理员,与其让大家改复杂密码什么的这种被动应战,任由“入侵者”攻击我们的服务器,不如使用fail2ban来做一些应对措施。
如果服务器被入侵,该怎么办!
dexunxiaoqian的博客
01-09 322
在多种渗透式攻击无效的时候,黑客会尝试对服务器登录认证进行爆破式攻击,说白了就是通过很多的字典(密码)配合软件工具不断的尝试密码,直到登录认证成功。在多种渗透式攻击无效的时候,黑客会尝试对服务器登录认证进行爆破式攻击,说白了就是通过很多的字典(密码)配合软件工具不断的尝试密码,直到登录认证成功。在多种渗透式攻击无效的时候,黑客会尝试对服务器登录认证进行爆破式攻击,说白了就是通过很多的字典(密码)配合软件工具不断的尝试密码,直到登录认证成功。攻击者会搜集目标一切可利用的资产,其中最常见的便是网站。
加固系统安全,防范ssh暴力破解Fail2Ban
最新发布
2401_84969951的博客
05-14 571
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
frp与fail2ban结合禁用ip
零碎记录一些自己用到的东西
03-06 1051
使用frp内网穿透,导致我们的ip会被扫描,我们利用fail2ban通过frps.log的日志文件,正则匹配多次访问的ip,将这一类ip禁用,从而保护我们内网穿透服务
Ubuntu服务器fail2ban使用
分享一点有用的知识
02-27 813
作用:限制ssh远程登录,防止被人爆破服务器封禁登录ip使用命令可查看到登录失败的用户及ip,无时无刻的不在爆破服务器
fail2ban查看禁止ip以及解禁
Lillian_cl的博客
03-23 8111
为了检验fail2ban状态(会显示出当前活动的监狱列表): ~$ sudo fail2ban-client status Status |- Number of jail: 2 `- Jail list: ssh-iptables, sshd 可以检验一个特定监狱的状态(ssh-iptables 或者 sshd) ~ $ sudo fail2ban-client status ssh-ipta...
服务器遇到暴力破解怎么办?
qq_54668097的博客
12-06 654
暴力破解分两种,一种是SSH暴力破解,属于Linux服务器。一种是RDP暴力破解,属于Windows服务器。两者其实攻击手法一样,都是黑客利用扫描工具对某一个IP段扫描,而Linux跟Windows登录端口为别是22和3389。那怎样才能有效避免类似攻击? 1.修改复杂密码因为黑客用的是弱口令字典在对你的服务器不断的尝试输入密码,这个过程是自动化的,所以密码组合尽量复杂一些,不久后你会发现不仅黑客破解不了,就连自己都忘记掉了....2.修改登录端口前面讲了,Windows跟Linux服务器的默认登陆端口分
Linux使用iptables限制多个IP访问你的服务器
01-20
iptables是一个管理netfilter的工具。 多个连续IP操作 1、拆分成多条命令运行 iptables -A INPUT 192.168.122.2 -j ACCEPT iptables -A INPUT 192.168.122.3 -j ACCEPT iptables -A INPUT 192.168.122.4 -j ACCEPT ...
QQ挂常用IP工具V2.64.rar
04-17
QQ挂常用IP工具V2.64是一款专为QQ用户设计的挂机辅助软件,它主要功能是提供更换IP的服务,以帮助用户在挂机过程中避免由于单一IP长时间使用而可能遇到的问题,如账号限制封禁等。挂机通常指的是长时间让QQ保持...
通过代理服务器网站获取代理服务器IP
12-06
在IT领域,代理服务器是一种重要的网络工具,它作为客户端与目标服务器之间的中介,可以用于隐藏原始IP地址、提高访问速度、突破访问限制等目的。本文将深入探讨如何通过代理服务器网站获取代理服务器IP,并涉及多...
fail2ban防护ssh暴力破解
夜闌靜 風也清
09-14 250
环境: 系统: CentOS 7 fail2ban: 0.11.1-10.el7 安装fail2ban yum install fail2ban 配置/etc/fail2ban/jail.local [DEFAULT] ignoreip = 127.0.0.1 172.18.0.0/16 findtime = 10m bantime = 24h banaction = iptables-multiport [sshd] enabled = true port = 592 logpath = /v.
通过fail2ban服务监控frps日志实现禁止非法IP
嘻哈记的运维学习之路
03-18 815
服务器使用了frp作为了内网穿透软件,查看frps的日志,发现总有一些国外的ip在扫描这台服务器的端口信息,日志如下图,所以想通过fail2ban服务能够直接禁用这些ip扫描服务器
CentOS 7安装Fail2Ban以防止SSH暴力破解 (记录学习)
weixin_38912950的博客
09-04 1863
以Nginx为例,使用Fail2Ban监视Nginx日志,匹配短时间内频繁请求的IP,并使用Firewalld屏蔽这些IP,以达到CC防护的作用。
统信UOS 1060上通过Fail2Ban来Ban IP
鹏大圣运维
10-14 664
hello,大家好啊,今天给大家带来一篇在统信UOS 1060上安装Fail2Ban并且当ip被ban后通过邮件发送通知的文章。Fail2Ban 是一个用于防止暴力攻击的开源软件。它可以扫描日志文件(例如,SSH或Web服务器日志文件)以查找IP地址,这些IP地址在定义的时间段内显示了太多的失败登录尝试,并在防火墙规则中封锁它们(通常使用iptables)。Fail2Ban通常用于防止各种类型的暴力攻击,例如SSH暴力攻击、邮件服务器攻击等。
fail2ban解除被Ban的IP
qq_58996293的博客
12-26 678
【代码】fail2ban解除被Ban的IP
Fail2ban详细教程,解决网站被扫描、CC攻击、ssh暴力破解、防爬虫等问题
w710537643的博客
02-12 6805
最近网站总是被高频度扫描,导致数据库连接过多,打开页面报“Error establishing a database connection“错误。最开始写了个监控网站的脚本,一旦发现网站打不开,重启数据库就好了。但是这几天网站挂掉的频率越来越高,不得不开始寻找新的办法了。 对于网站被恶意扫描、暴力破解、CC 攻击这一系列攻击,都有相似的特征,即高频率发请求导致主机资源使用率飙高。对于这些问题,必须要做两件事,一个是识别恶意发请求的 IP,并封禁;二个是实现网站缓存、静态化等功能减少数据库查询。今天介...
ubuntu18.04系统fail2ban查看已封禁ip地址
05-24
你可以使用以下命令来查看fail2ban封禁IP地址: ``` sudo fail2ban-client status ``` 这将显示所有已禁止的IP地址和它们被禁止的原因。你也可以使用以下命令来查看特定的服务(例如SSH)的IP地址被禁止了: ``` sudo fail2ban-client status sshd ``` 这将只显示SSH服务的禁止IP地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值