利用 fail2ban 保护 SSH 服务器

最新推荐文章于 2024-08-16 10:27:05 发布
最新推荐文章于 2024-08-16 10:27:05 发布
阅读量1.1k 收藏 14
点赞数 9
分类专栏: OS/Network 文章标签: ssh 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cg_i/article/details/140081491
版权

利用 fail2ban 保护 SSH 服务器

作者:高玉涵
时间:2024.6.30 12:56
博客:blog.csdn.net/cg_i
环境:CentOS8

左右左右下下 按按 滴——抓娃娃机

一、关于 fail2ban

Fail2ban是一款实用的入侵防御软件,旨在保护服务器免受暴力攻击,特别是通过密码猜测和暴力破解的方式。以下是关于Fail2ban的详细介绍:

1. 基本功能与特性
  1. 日志监控与封禁:Fail2ban能够监视系统日志文件,如/var/log/auth.log/var/log/apache/access.log等,匹配日志中的错误信息(通过正则表达式匹配),并对符合特定规则的IP地址执行封禁操作。
  2. 支持多种服务和动作:Fail2ban支持大量的服务,如sshd、apache、qmail、proftpd等,并允许执行多种动作,如通过iptables或tcp-wrapper更新防火墙规则,发送邮件通知等。
  3. 灵活性高:用户可以根据自己的需求自定义监控规则、封禁时间和动作,Fail2ban的配置文件提供了丰富的选项来满足这些需求。
  4. 开箱即用:Fail2ban附带了许多服务的默认过滤器,用户无需从头开始配置即可快速部署。
2. 工作原理

Fail2ban通过扫描系统日志文件来检测失败的登录尝试或恶意行为。当检测到某个IP地址在指定时间内超过预设的失败尝试次数时,Fail2ban会根据配置执行相应的封禁动作,如通过iptables更新防火墙规则以拒绝该IP地址的访问。此外,Fail2ban还可以配置为在封禁IP地址时发送邮件通知给管理员。

二、安装与配置

Fail2ban的安装和配置相对简单,以下以基于Debian和CentOS的系统为例说明安装步骤:

1. Debian/Ubuntu系统:
  • 更新软件源:sudo apt-get update
  • 安装Fail2ban:sudo apt-get install -y fail2ban
2. CentOS/RHEL系统:
  • 更新软件源:sudo yum update
  • 安装EPEL仓库(如果尚未安装):sudo yum install -y epel-release
  • 安装Fail2ban:sudo yum install -y fail2ban

配置Fail2ban时,通常建议编辑/etc/fail2ban/jail.local文件(如果不存在,则从/etc/fail2ban/jail.conf复制一份并重命名)。在该文件中,可以启用和配置不同的监控服务,设置全局参数(如封禁时间、最大尝试次数等),以及为特定服务配置日志路径和动作。

三、保护 SSH

[root@centos8 ~]vi /etc/fail2ban/jail.local

添加以下内容并保存:

[sshd]
enabled = true
filter = sshd
port = 22
logpath = /var/log/secure
maxretry = 3
bantime = 600

下面是对每一行配置的解释:

  • enabled = true:启用对sshd服务的监控。
  • filter = sshd:使用sshd过滤器来匹配日志中的错误信息。
  • port = 22:指定sshd服务监听的端口号,默认是22。
  • logpath = /var/log/secure:指定sshd服务的日志文件路径。在大多数基于Red Hat的系统中,sshd的日志记录在/var/log/secure文件中。
  • maxretry = 3:设置最大尝试次数。如果某个IP地址在指定时间内尝试连接sshd服务并失败超过3次,则触发封禁动作。
  • bantime = 600:设置封禁时间,单位为秒。在这个例子中,被封禁的IP地址将在600秒内无法访问sshd服务。

四、启动 fail2ban 服务

systemctl enable --now fail2ban

因我已启用了 fail2ban 为了让新配置生效,重启服务即可。

[root@centos8 ~]# systemctl restart fail2ban
[root@centos8 ~]# systemctl status fail2ban
● fail2ban.service - Fail2Ban Service
   Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; enabled; vendor preset: disabled)
   Active: active (running) since Sun 2024-06-30 13:22:15 CST; 5s ago
     Docs: man:fail2ban(1)
  Process: 3847005 ExecStop=/usr/bin/fail2ban-client stop (code=exited, status=0/SUCCESS)
  Process: 3847068 ExecStartPre=/bin/mkdir -p /run/fail2ban (code=exited, status=0/SUCCESS)
 Main PID: 3847070 (fail2ban-server)
    Tasks: 15 (limit: 49300)
   Memory: 22.8M
   CGroup: /system.slice/fail2ban.service
           ├─3847070 /usr/bin/python3.6 -s /usr/bin/fail2ban-server -xf start
           ├─3847098 /bin/bash /usr/sbin/sendmail -f root@centos8. root@localhost
           ├─3847116 /bin/bash /usr/sbin/sendmail -f root@centos8. root@localhost
           ├─3847134 /bin/bash /usr/sbin/sendmail -f root@centos8. root@localhost
           ├─3847137 /usr/bin/dotlockfile -p -l /root/.esmtp_queue/.deliver_lock
           ├─3847138 /usr/bin/dotlockfile -p -l /root/.esmtp_queue/.deliver_lock
           └─3847492 /bin/bash /usr/sbin/sendmail -f root@centos8. root@localhost

Jun 30 13:22:15 centos8 systemd[1]: fail2ban.service: Succeeded.
Jun 30 13:22:15 centos8 systemd[1]: Stopped Fail2Ban Service.
Jun 30 13:22:15 centos8 systemd[1]: Starting Fail2Ban Service...
Jun 30 13:22:15 centos8 systemd[1]: Started Fail2Ban Service.
Jun 30 13:22:16 centos8 fail2ban-server[3847070]: Server ready

五、测试和验证

客户端:连续输错 3 次密码:

ssh root@10.10.10.138
root@10.10.10.138's password:(随便输入)
Permission denied,please try again.
root@10.10.10.138's password:(随便输入)
Permission denied,please try again.
root@10.10.10.138's password:(随便输入)
Permission denied(publickey,gssapi-keyex,gssapi-with-mic,password).

再次连接到服务器:

ssh root@10.10.10.138
ssh:connect to host 10.10.10.138 port 22: Connection refused(连接断开,没有给我们输入密码的机会)

六、查看封禁的 IP 地址

  • 查看封禁状态

通过防火墙策略查看当前封禁的 IP 地址:

[root@centos8 ~]firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  forward: no
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	rule family="ipv4" source address="10.10.10.128" port port="ssh" protocol="tcp" reject type="icmp-port-unreachable"(IP 被禁止访问 SSH 端口。)

通过 fail2ban-client status命令检查:

fail2ban-client status
Status
|- Number of jail: 1
`- Jail list: sshd

可以看到此时有一条 Jail 生效为 sshd 的信息。要想进一步了解通过 fail2ban-client status sshd命令获得详细信息。

[root@centos8 ~]# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	1
|  |- Total failed:	2
|  `- Journal matches:	_SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned:	1
   |- Total banned:	2
   `- Banned IP list:	10.10.10.128

我们主要关注ActionsCurrently banned当前封禁 IP 数量、Total banned总封禁次数、Banned IP list封禁的 IP 地址。

七、一些配置

[nginx-http-auth]
# HTTP 验证防暴力破解
enabled = true
filter = nginx-http-auth
port = 80
logpath = /var/log/nginx/error.log

[nginx-badbots]
# 屏蔽爬虫
enabled = true
port = 80
filter = nginx-badbots
logpath = /var/log/nginx/access.log
maxretry = 2

[nginx-nohome]
# 避免恶意请求网站目录结构
enable = true
port = 80
filter = nginx-nohome
logpath = /var/log/nginx/access.log
maxretry = 2

[nginx-noproxy]
# 避免被人利用反向代理
enable = true
port = 80
filter = nginx-noproxy
logpath = /var/log/nginx/access.log
maxretry = 2

八、注意事项

  • 在配置Fail2ban时,应谨慎设置封禁时间和最大尝试次数等参数,以避免误封合法用户。
  • Fail2ban虽然能够降低恶意登录尝试的发生率,但并不能完全消除弱身份验证带来的安全风险。因此,建议结合其他安全措施(如多因子认证)来提高系统的整体安全性。
  • 定期检查和更新Fail2ban的配置文件和规则集,以确保其能够有效地应对新的安全威胁。
半点闲
关注
专栏目录
ssh服务添加fail2ban安全认证
tinychen
01-04 1790
本文主要讲解在centos8系统中安装fail2ban服务来提供ssh服务的安全性。 本文参考链接。 fail2ban用来保护ssh的原理非常简单,主要就是通过检测ssh的日志,记录下频繁登录失败的IP,然后使用iptables来直接禁用掉这个IP对应的请求即可实现ssh的防暴力破解。 1、安装fail2ban centos中可以直接启用epel源来直接进行安装 yum install epel-release yum install fail2ban 2、配置fail2ban fail2ban的主要.
使用 Fail2ban 防止 ssh 暴力破解攻击
三成的博客
09-20 1442
安全防护
加固系统安全,防范ssh暴力破解之Fail2Ban
最新发布
baimao__Ch的博客
08-16 878
我不认为Fail2Ban是解决安全问题的“银子弹”。但是你不能否认Fail2Ban是一个简单有效的恶意嗅探/暴力攻击的有效的方法。它只需很少的配置,几乎不会给我们的服务器带来任何操作开销。更重要的是,它没有任何成本,除了安装配置所付出的几分钟时间。还犹豫什么呢?学习计划安排我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
使用fail2ban防止ssh穷举爆破
识途老码
09-10 1088
使用fail2ban防止ssh穷举爆破安装fail2ban安装epel_release源安装fail2ban配置fail2ban 安装fail2ban 官网 https://www.fail2ban.org 安装epel_release源 yum install epel-release yum makecache 安装fail2ban yum install fail2ban -y 配置fail2ban vim /etc/fail2ban/jail.conf ...
Fail2ban配置ssh防暴力破解
爱吃鱼的小明的博客
03-20 2448
Fail2ban能够监控系统日志,匹配日志中的错误信息(使用正则表达式),执行相应的屏蔽动作(支持多种,一般为调用 iptables ),是一款很实用、强大的软件。 如:攻击者不断尝试穷举SSH、SMTP 、FTP 密码等,只要达到预设值,fail2ban 就会调用防火墙屏蔽此 IP ,并且可以发送邮件通知系统管理员。 功能、特性: 1、支持大量服务:sshd 、apache 、qmail 等 2...
配置fail2banssh暴力破解
毒辣A猛
04-21 693
安装可以使用源码编译 官网 或者yum安装 安装 (base) [root@www fail2ban]# yum -y install fail2ban 配置 #配置 (base) [root@www fail2ban]# vim jail.conf 加入以下内容 42 [ssh-iptables] 43 enabled = true 44 filter = sshd 45 action = iptables[name=SSH, port=ssh, protocol=tcp] 46 sen
ubuntu使用fail2ban_「干货分享」手把手教你如何使用Fail2Ban保护Linux服务器
weixin_42540248的博客
12-24 684
导语:解决问题肯定是越简单越好,而Fail2Ban就是解决棘手问题的一种优雅的解决方案,它只需很少的配置,几乎不会给您或您的计算机带来任何操作开销。使用Fail2Ban,您的Linux计算机会自动阻止连接失败过多的IP地址。这是自我调节的安全性!我们将向您展示如何使用它。提醒:不熟悉Fail2Ban的朋友请跳到文末,查看本文对Fail2Ban的简介。安全、安全、安全!重要的事情说三遍温莎公爵夫人沃...
如何配置fail2ban保护Apache HTTP服务器.docx
09-27
配置fail2ban保护Apache HTTP...同时,fail2ban也可以保护其他应用程序,例如SSH、Dovecot、Lighttpd、MySQL、Postfix等。 fail2ban是一款非常实用的入侵预防工具,可以保护Apache HTTP服务器和其他应用程序免受攻击。
ubuntu使用fail2ban防御ssh暴力破解
SitVen
10-27 1839
查看暴力破解IP sudo grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more 不查不知道一查吓一跳,暴力破解最多的IP达到4千多次 禁止root账号登录 修改/etc/ssh/sshd_config # sudo...
强化服务器安全!CentOS 7如何使用fail2ban防范SSH暴力破解攻击?
低调,谦虚,自律,反思,成长,保持热爱,奔赴梦想
06-10 2272
centos7防止暴力配节
CentOS 7安装Fail2Ban以防止SSH暴力破解 (记录学习)
weixin_38912950的博客
09-04 2570
以Nginx为例,使用Fail2Ban监视Nginx日志,匹配短时间内频繁请求的IP,并使用Firewalld屏蔽这些IP,以达到CC防护的作用。
服务器安全神器,Linux 上安装 Fail2Ban 保护 SSH
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
12-10 1901
IIRC,DenyHosts 只会监视您的 SSH 服务。如果您还需要它来保护其他服务,Fail2ban 绝对是更好的选择。如果您愿意调整其配置,它几乎可以配置为监视任何服务,但这不是必需的,因为较新版本的 Fail2ban 包含适用于许多流行服务器守护程序的规则集。在简单的 iptables 速率限制上使用 fail2ban 的好处是可以在指定的时间内完全阻止攻击者,而不是简单地降低他攻击你的服务器的速度。我在许多生产服务器上使用过 fail2ban 并取得了很好的效果,并且自从我开始使用它以来从未见过其
Fail2ban配置
04-05 1681
一 安装 Fail2ban 服务 下载rpmforge , 里面有大量最新的rpm包. wget http://dag.wieers.com/rpm/packages/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.i386.rpm rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm
SSH应用实战——安全防护(fail2ban
weixin_30877181的博客
01-02 117
ssh 安全配置 端口   ssh随机端口范围在 27000-30000,可以手动修改也要改在这个范围内,建议定时修改端口。 密码   登陆密码应包含大小写、数字、特殊字符等 10 位以上,建议定期修改密码。 root 登录   默认允许 root 登录 vps,也可以新建普通用户,禁止 root 登录。   vim /etc/ssh/sshd_con...
Fail2ban 配置
weixin_30708329的博客
06-09 115
本例为wordpress管理员登陆限制安装rpm -Uvh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpmyum -y install fail2ban配置默认开启了ssl控制介绍目录 action.d 下的文件指定满足条件时执行的一些动作,比如使用 iptables 禁止 ip 访问。...
fail2ban使用教程
weixin_52345129的博客
07-09 692
白名单操作 IP 加入白名单:fail2ban-client set nginx addignoreip 192.168.1.8 IP 从白名单中移除:fail2ban-client set nginx delignoreip 192.168.1.8 在所有监禁中加入IP 白名单:fail2ban-client unban 192.168.1.8。findtime:设置匹配时间间隔,单位为秒,即从日志中匹配条目,若指定时间内匹配到 maxretry 项设置的条目数量时,将会执行封禁IP动作;
配置fail2ban防止ssh暴力破解
qq_42916414的博客
03-30 222
通过另一台服务器ssh已配置fail2ban服务器并输入错误密码5次。在fail2ban服务器查看iptables策略。环境:Rocky8.6。
使用fail2ban防止ssh恶意攻止
Steven的博客
10-11 2505
昨天写了一下使用iptables拒绝恶意攻击,其实除了使用iptables外,还有一个方法也是可以使用的,而且效果不错,那就是fail2ban。安装:yum -y install fail2ban如果提示找不到的话,先yum -y install epel-release 安装一下这个源。安装过后,编辑配置文件:vim /etc/fail2ban/jail.conf找到[ssh-iptables]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值