使用fail2ban保护OpenWRT的luci登录页面

最新推荐文章于 2023-09-22 11:17:32 发布
最新推荐文章于 2023-09-22 11:17:32 发布
阅读量2.3k 收藏 7
点赞数 3
分类专栏: openwrt 文章标签: linux 服务器 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apathia/article/details/127783989
版权

        为了方便管理我的OpenWRT,我使用了IPV4/IPV6公网直接访问我的OpenWRT。但是又觉得LUCI页面暴露在公网不够安全,所以研究了一下fail2ban发现用这个工具可以一定程度的保护好登录页面的安全。

        安装了fail2ban之后发现并没有适用于luci登录页面的规则,于是乎我看了一下其它规则,发现都是基于正则表达式匹配错误日志,而我本人对正则表达式略有研究,所以直接自己写了一个luci的登录失败匹配规则。

        废话不多说,直接上教程。

1.安装fail2ban

# 1 登录你的 OpenWRT
ssh root@192.168.1.1

# 2 更新 opkg
opkg update

# 3 安装 fail2ban
opkg install fail2ban

2.创建 luci 登录失败匹配规则

# 使用 vi / vim 编辑 luci 规则文件
vim /etc/fail2ban/filter.d/luci.conf


# ========== 文件内容 开始

# fail2ban filter configuration for luci


[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf


[Definition]


_daemon = luci

prefregex = ^%(__prefix_line)s<F-CONTENT>(?:[Ff]ailed).+</F-CONTENT>$

failregex = ^[Ff]ailed\s+login\s+on\s+/.*\s+for\s+.+\s+from\s+<HOST>(:\d+)?$

ignoreregex = 

# ========== 文件内容 结束

3.创建 fail2规则 

# 创建 fail2ban 规则目录 (默认不存在)
mkdir /etc/fail2ban/jail.d/

# 编辑 luci 规则
vim /etc/fail2ban/jail.d/luci.local

# ========== 文件内容 开始

[luci]
enabled  = true
filter   = luci
action   = iptables[name=LUCI, port=http, protocol=tcp]
logpath  = /tmp/log/system.log
maxretry = 5
bantime  = 604800


# ========== 文件内容结束

fail2ban规则中 port=http 就是默认的80端口 如果你的登录页面是 443可以用 https 也可以直接使用 443或者80或者其它实际的端口号

maxretry 就是密码错误次数 错误次数达到这个就封禁这个IP

bantime 就是封禁时间 (秒)

logpath = 具体的日志文件路径 

OpenWRT默认没有保存日志文件需要手动到 luci界面配置

         默认将系统日志写入文件是灰色的,也就是不写入。我们需要填入 /tmp/log/system.log 到里面,然后保存应用之后,OpenWRT才会把日志写入我们指定的路径。

4.重启fail2ban 并查看规则是否生效

# 重启 fail2ban
fail2ban-client restart

# 查看 fail2ban 状态
fail2ban-client status
# 执行这个命令后应该看到 Jail list里面有 luci
# Status
# |- Number of jail:      2
# `- Jail list:   luci, sshd


# 查看 luci 的错误次数以及封禁装
fail2ban-client status luci
#执行这个命令后应该会看到
# Status for the jail: luci
# |- Filter
# |  |- Currently failed: 0
# |  |- Total failed:     0
# |  `- File list:        /tmp/log/system.log
# `- Actions
#    |- Currently banned: 0
#    |- Total banned:     0
#    `- Banned IP list:

# 然后为了验证效果 你可以在OpenWRT的登录页面输错密码登录后 再执行 fail2ban-client status luci 就会看到 Currently failed 和 Total failed 数量增加了 错误次数达到 设定的值 就会封禁这个IP

至此大功告成

沐心_
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
fail2ban 防止暴力破
互联网老辛
05-14 2898
本测试需要的环境: 1)系统: centos7 2) python 版本大于2.4 具体操作步骤: 1. 编译安装fail2ban需要从官网下载包,解压安装即可 2.使用yum安装fail2ban [root@zmedu63 ~]# yum -y install epel-release [root@zmedu63 ~]# yum -y install fail2ban 3...
关于opwenwrt系统登录界面报错
lyly4422的博客
01-18 1996
前段时间一直遇到openwrt登录界面报错,内容就是luci主题错误之类的东西。一直找不到解决办法,唯一的办法就是重启openwrt。但过几天又会出现。后来找到一个折中的办法,虽然有时候还是出错但频率已经降到很低。 只要ssh到软路由下裕兴以下命令便可,也不用重启软路由。 rm -r /tmp/luci-indexcache ...
dropbear 用户名_Openwrt基础配置
weixin_30682905的博客
01-13 934
——分享来自于“秀子营学习交流群 - 南京-学生-RivenNero”,经作者允许,可以转载分享。一、安装 openwrt1、opkg 升级先安装证书和一些必备组件opkg updateopkg install wget ca-certificates openssl-util ca-bundle curl换源cp /etc/opkg/distfeeds.conf /etc/opkg/distfe...
openwrt x86 登录不上_openwrt x86的安装与使用
weixin_39543758的博客
12-20 1734
前言什么是openwrt?它是一个适用于路由器的Linux发行版。和其他Linux发行版一样,它也内置了包管理工具,你可以从一个软件仓库里直接安装软件。OpenWrt可以用在所有需要嵌入式Linux的地方,它有众多功能,比如SSH服务器,VPN,流量整形服务,甚至是BitTorrent客户端。准备工作一台pc机,2块网卡,一块普通u盘 (因为必须要2块网卡才能实现路由器的功能,一个WAN口,一个L...
OpenWrt系统无法进入Luci解决办法之一
maphin的博客
07-28 7019
openwrt系统重启后,有几率会出现如下报错:SSH连接后,输入:
opwenwrt系统登录界面报错
01-18
前段时间一直遇到openwrt登录界面报错,内容就是luci主题错误之类的东西。一直找不到解决办法,唯一的办法就是重启openwrt。但过几天又会出现。后来找到一个折中的办法,虽然有时候还是出错但频率已经降到很低。 只要ssh到软路由下裕兴以下命令便可,也不用重启软路由。
OpenWRT LUCI2界面定制、Ubus对象增删配置、http调用Ubus方法
01-30
OpenWRT是一个针对嵌入式设备的开源固件项目,提供了基于Linux的运行环境,并通过其LuCI组件提供了用户友好的Web界面。随着技术发展,LuCI也在更新换代,LUCI2便是在原有Lua代码基础上的重构版本,它采用静态HTML...
openwrt-luci2
07-08
OpenWRTLuCI2是两个在路由器固件开发中广泛使用的开源项目。OpenWRT是一个基于Linux的嵌入式操作系统,用于各种无线路由器,而LuCILuci Interactive Configuration Interface)则为OpenWRT提供了一个基于Web的...
luci.tar.gz_LUCI的界面_luci_openwrt_openwrt luci_openwrtluci
09-23
自己做的openwrt 的简单luci界面,利用的是html,而不是cbi控件,实现帐号密码的输入及认证,用post的方式和controller层进行数据传输,在mvc模式中实现view 和control的参数传递.
luci-theme-argon:Argon是OpenWrt LuCI的干净HTML5主题。 用户可以设置自己喜欢的登录名,包括精美的图片和自定义的mp4视频
04-28
OpenWrt的新LuCI主题 Argon是LuCI的干净HTML5主题。 用户可以设置自己喜欢的登录名,包括漂亮的图片和自定义的mp4视频。 English | 注意 强烈建议使用Chrome浏览器。 主题中使用了一些新的css3功能,目前只有Chrome...
OpenWrtScripts:一组用于维护和测试OpenWrt的脚本
05-22
OpenWrtScripts 这是一组脚本(有时也称为“ Openscripts”),用于报告,配置和测量(和改善)家用路由器(以及其他任何地方!)的延迟。这些脚本对于和都同样有效 收集故障诊断信息的脚本,有助于诊断OpenWrt发行版中的问题。 一个脚本,用于保存当前安装的程序包列表(例如,在sysupgrade之前),然后在升级后还原整个程序包集。 - 刷新出厂固件后用于一致配置OpenWrt路由器的脚本。 和和用于测量路由器性能或为网络提供负载以进行测试的脚本。 一种脚本,用于测量“空闲线”的延迟,而不会从脚本中产生任何其他流量。 用于建立的IPv6 6合4隧道的脚本。 这些脚本可以保存在/usr/lib/OpenWrtScripts目录中。 最简单的方法是在路由器中使用ssh并输入以下命令: opkg update opkg install netperf op
openwrt luci学习笔记
11-22
OpenWrt Luci学习笔记涵盖了在OpenWrt操作系统中进行Web界面开发的相关知识。OpenWrt是一个针对嵌入式设备进行优化的Linux发行版,它提供了非常灵活的软件包管理功能,使得用户可以根据自己的需求对系统进行定制。而...
解决光猫OpenWrt登录报错问题/usr/lib/lua/luci/dispatcher.lua:634
最新发布
sejinan的博客
09-22 1578
【代码】解决光猫OpenWrt登录报错问题/usr/lib/lua/luci/dispatcher.lua:634。
Pycharm安装dlib库(Python3.8)
lhe159324的博客
11-23 4990
1.下载dlib-19.19.0-cp38-cp38-win_amd64.whl 2.通过cmd,进入控制台,通过cd…的方式跳转当前目录到刚才下载的dlib-19.19.0-cp38-cp38-win_amd64.whl文件所在目录 3.在控制台输入pip install dlib-19.19.0-cp38-cp38-win_amd64.whl,则会出现如图效果: 则dlib库安装成功,启动Pycharm,输入import dlib导入即可使用 ...
fail2ban 防止暴力破解密码
Ccccxc的博客
05-31 1254
由于服务器被暴力攻击破解,并被植入了Xmrig挖矿程序,因此安装部署 fail2ban 服务用于抵御暴力工具,并封禁攻击者 IP。本文简要介绍了在 unRAID 服务器中如何安装配置 fail2ban 服务,并简单测试和展示封禁效果
fail2ban--服务器遭遇暴力破解的福音
baidu_38662087的博客
11-15 1421
作为服务器管理员,与其让大家改复杂密码什么的这种被动应战,任由“入侵者”攻击我们的服务器,不如使用fail2ban来做一些应对措施。
Fail2ban详细教程,解决网站被扫描、CC攻击、ssh暴力破解、防爬虫等问题
w710537643的博客
02-12 7551
最近网站总是被高频度扫描,导致数据库连接过多,打开页面报“Error establishing a database connection“错误。最开始写了个监控网站的脚本,一旦发现网站打不开,重启数据库就好了。但是这几天网站挂掉的频率越来越高,不得不开始寻找新的办法了。 对于网站被恶意扫描、暴力破解、CC 攻击这一系列攻击,都有相似的特征,即高频率发请求导致主机资源使用率飙高。对于这些问题,必须要做两件事,一个是识别恶意发请求的 IP,并封禁;二个是实现网站缓存、静态化等功能减少数据库查询。今天介...
修改openwrt 终端登录欢迎界面
weixin_30879833的博客
09-03 1824
链接:https://blog.csdn.net/u011641885/article/details/47129363?utm_source=blogxgwz4 转载于:https://www.cnblogs.com/hzijone/p/11452595.html
如何在 RHEL 8 / CentOS 8 上安装使用 Fail2Ban ?
xiaochong0302的博客
01-10 1079
Fail2ban 是一种开源的入侵检测措施,可以减轻针对各种服务(例如 SSH 和 VSFTPD)的暴力攻击。它提供了包括 SSH 在内的一系列过滤器,您可以自定义这些过滤器来更新防火墙规则,并阻止未经授权的 SSH 登录尝试。
openwrt luci界面编写
05-30
OpenWrt是一个基于Linux的操作系统,主要针对嵌入式设备进行优化,以实现高度定制化、可扩展性和安全性。OpenWrtWeb管理界面是通过LuCI(Lua Configuration Interface)实现的。 LuCIOpenWrtWeb管理界面,它的前端采用HTML+JavaScript,后端使用 Lua 脚本。在OpenWrt中,LuCI提供了很多插件,可以帮助用户管理路由器、网络、系统和应用程序等方面的设置。 如果你想要自定义OpenWrtLuCI界面,可以按照以下步骤进行: 1. 安装OpenWrt SDK 首先需要安装OpenWrt的SDK,可以通过以下命令进行安装: ``` sudo apt-get install libncurses5-dev zlib1g-dev gawk git ccache gettext libssl-dev xsltproc git clone https://git.openwrt.org/openwrt/openwrt.git cd openwrt ./scripts/feeds update -a ./scripts/feeds install -a ``` 2. 下载LuCI源码 下载LuCI源码,可以通过以下命令进行下载: ``` git clone https://github.com/openwrt/luci.git ``` 3. 修改LuCI源码 通过修改LuCI源码来实现自定义界面。在修改之前,建议先熟悉LuCI的开发文档,了解其基本的结构和组件。 4. 编译和安装 完成修改之后,需要将修改后的源码编译成OpenWrt的固件。可以通过以下命令进行编译: ``` make menuconfig make ``` 编译完成后,可以将生成的固件刷入路由器中,即可使用自定义的LuCI界面。 以上是OpenWrt LuCI界面编写的基本步骤,希望对你有所帮助。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值