CentOS 7安装fail2ban+Firewalld防止SSH爆破与CC攻击

最新推荐文章于 2023-03-07 14:36:00 发布
最新推荐文章于 2023-03-07 14:36:00 发布
阅读量2.9k 收藏 13
点赞数 3
分类专栏: linux

说明:差不多很多博主都会遇到被CC攻击和SSH爆破的情况,这个时候就需要做下防御措施了,前几天发过一个防CC脚本,参考: https://www.moerats.com/archives/484/ ,不过对于CentOS 7来说,由于防火墙的因素,配置起来还是有点麻烦的,这里争对CentOS 7再分享个简单防CC攻击和SSH爆破的方法。

前言
fail2ban可以监视你的系统日志,然后匹配日志的错误信息执行相应的屏蔽动作。网上大部分教程都是关于fail2ban+iptables组合,考虑到CentOS 7已经自带Firewalld,所以这里我们也可以利用fail2ban+Firewalld来防CC攻击和SSH爆破。

本教程编辑文件使用vi命令,如果不会用的,可以使用比较简单的nano,可以参考: https://www.moerats.com/archives/485/ ,或者使用FTP工具,如WinSCP登录VPS操作。

准备工作
1、检查Firewalld是否启用

#如果您已经安装iptables建议先关闭
service iptables stop
#查看Firewalld状态
firewall-cmd --state
#启动firewalld
systemctl start firewalld
#设置开机启动
systemctl enable firewalld.service

启用Firewalld后会禁止所有端口连接,因此请务必放行常用的端口,以免被阻挡在外,以下是放行SSH端口(22)示例,供参考:

#放行22端口
firewall-cmd --zone=public --add-port=80/tcp --permanent
#重载配置
firewall-cmd --reload
#查看已放行端口
firewall-cmd --zone=public --list-ports

2、安装fail2ban
fail2ban可以监控系统日志,并且根据一定规则匹配异常IP后使用Firewalld将其屏蔽,尤其是针对一些爆破/扫描等非常有效。

#CentOS内置源并未包含fail2ban,需要先安装epel源
yum -y install epel-release
#安装fial2ban
yum -y install fail2ban

安装成功后fail2ban配置文件位于/etc/fail2ban,其中jail.conf为主配置文件,相关的匹配规则位于filter.d目录,其它目录/文件一般很少用到,如果需要详细了解可自行搜索。

3、配置规则
新建jail.local来覆盖fail2ban的一些默认规则:

#新建配置
vi /etc/fail2ban/jail.local
#默认配置
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 86400
findtime = 600
maxretry = 5
#这里banaction必须用firewallcmd-ipset,这是fiewalll支持的关键,如果是用Iptables请不要这样填写
banaction = firewallcmd-ipset
action = %(action_mwl)s

参数说明:

ignoreip:IP白名单,白名单中的IP不会屏蔽,可填写多个以(,)分隔
bantime:屏蔽时间,单位为秒(s)
findtime:时间范围
maxretry:最大次数
banaction:屏蔽IP所使用的方法,上面使用firewalld屏蔽端口

防止SSH爆破
如果您还在使用默认SSH端口(22),可能每天都会被扫描,我们可以修改端口尽量避免被扫,参考: https://www.moerats.com/archives/394/ ,或者可以使用fail2ban将恶意IP屏蔽。

继续修改jail.local这个配置文件,在后面追加如下内容:

[sshd]
enabled = true
filter  = sshd
port    = 22
action = %(action_mwl)s
logpath = /var/log/secure

参数说明:

[sshd]:名称,可以随便填写
filter:规则名称,必须填写位于filter.d目录里面的规则,sshd是fail2ban内置规则
port:对应的端口
action:采取的行动
logpath:需要监视的日志路径

到这一步,我们jail.local的规则看起来可能像下面这样子:

[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 86400
findtime = 600
maxretry = 5
banaction = firewallcmd-ipset
action = %(action_mwl)s

[sshd]
enabled = true
filter  = sshd
port    = 22
action = %(action_mwl)s
logpath = /var/log/secure

上面的配置意思是如果同一个IP,在10分钟内,如果连续超过5次错误,则使用Firewalld将他IP ban了。输入systemctl start fail2ban启动fail2ban来试试效果。

使用另一台服务器不断尝试连接SSH,并且不断的将密码输入错误,你会发现连续超过5次后直接连不上,说明IP被ban了,可以输入:fail2ban-client status sshd查看被ban的IP,如下截图。
这里写图片描述

防止CC攻击
这里仅以Nginx为例,使用fail2ban来监视nginx日志,匹配短时间内频繁请求的IP,并使用firewalld将其IP屏蔽,达到CC防护的作用。

#需要先新建一个nginx日志匹配规则
vi /etc/fail2ban/filter.d/nginx-cc.conf
#填写如下内容
[Definition]
failregex =  -.*- .*HTTP/1.* .* .*$
ignoreregex =

继续修改jail.local追加如下内容:

[nginx-cc]
enabled = true
port = http,https
filter = nginx-cc
action = %(action_mwl)s
maxretry = 20
findtime = 60
bantime = 3600
logpath = /usr/local/nginx/logs/access.log

上面的配置意思是如果在60s内,同一IP达到20次请求,则将其IP ban 1小时,上面只是为了测试,请根据自己的实际情况修改。logpath为nginx日志路径。

防止Wordpress爆破
如果您经常分析日志会发现有大量机器人在扫描wordpress登录页面wp-login.php,虽然对方可能没成功,但是为了避免万一还是将他IP干掉为好。

#需要先新建一个nginx日志匹配规则
vi /etc/fail2ban/filter.d/wordpress.conf
#填写如下内容
[Definition]
failregex = ^ -.* /wp-login.php.* HTTP/1\.."
ignoreregex =

继续修改jail.local追加如下内容:

[wordpress]
enabled = true
port = http,https
filter = wordpress
action = %(action_mwl)s
maxretry = 20
findtime = 60
bantime = 3600
logpath = /usr/local/nginx/logs/access.log

当然,别忘记输入systemctl restart fail2ban重启fail2ban使其生效。

常用命令

#启动
systemctl start fail2ban
#停止
systemctl stop fail2ban
#开机启动
systemctl enable fail2ban
#查看被ban IP,其中sshd为名称,比如上面的[wordpress]
fail2ban-client status sshd
#删除被ban IP
fail2ban-client set sshd delignoreip 192.168.111.111
#查看日志
tail /var/log/fail2ban.log

总结
fail2ban已经内置很多匹配规则,位于filter.d目录下,包含了常见的SSH/FTP/Nginx/Apache等日志匹配,如果都还无法满足您的需求,您也可以自行新建规则来匹配异常IP。使用fail2ban+Firewalld来阻止恶意IP是行之有效的办法,可极大提高服务器安全。

diyiday
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
centosfail2ban安装与配置详解
09-15
主要介绍了centosfail2ban安装与配置实例,fail2ban是一个实用、强大的Linux安全软件,可以监控大多数常用服务器软件,需要的朋友可以参考下
Blocked by CC firewall
瑋来可期的博客
07-20 1045
当你的电脑或者网络被 CC 防火墙拦截时,可能会出现此提示。造成这种状况的原因可能有很多,例如你的电脑防火墙设置问题,或者某个网站正在遭受攻击,防火墙正在进行防护。过一段时间后,尝试重新访问该网站,如果还是无法访问,可以尝试更换网络环境或者更换浏览器等方式。这是一个友好页面,提示你被CC防火墙阻止,如果你打开所有网页都这样那你电脑防火墙设置不对,如果只是某一个网站这样提示,证明这个网站正在被CC攻击,防火墙在工作,过一段时间就好了。
fail2ban firewalld not working 防火墙拦截规则不生效
zhangbest5的专栏
05-31 1136
翻遍国内外,被一句点醒 tail -f /var/log/fail2ban.log #查看日志 tail -n 30 /var/log/fail2ban.log #查看近30行日志 查看ERROR 有这两行,就可以解决你的问题,看我的处理过程 然后就会看到万马奔腾的一刻 --dports "$(echo '37212 #ssh??? | sed s/:/-/g) 自己挖的坑,真手欠后面注释个🔨 [sshd] # 需要监听的项,对应/etc/fail2ban/filter.d目录下的文件
ssh放行端口_CentOS 7 搭配fail2ban + Firewalld防止SSH爆破
weixin_39665992的博客
12-11 535
什么是fail2banFail2Ban 是一款入侵防御软件,可以保护服务器免受暴力攻击。它是用 Python 编程语言编写的。Fail2Ban 基于auth 日志文件工作,默认情况下它会扫描所有 auth 日志文件,如/var/log/auth.log、/var/log/apache/access.log等,并禁止带有恶意标志的IP,比如密码失败太多,寻找漏洞等等标志。通常,Fail...
Deploy fail2ban with firewalld on CentOS 7
xtralloy的博客
12-16 666
The login info shows that there were 6 failed login attempts since the last successful login, which is quite strange. So I want to deploy fail2ban on the server. I found some new problems and here is ...
如何在 CentOS 7 上安装杀毒软件ClamAV
qq_30665009的博客
03-07 6954
你想保护你的VPS免受危险的恶意软件和病毒的侵害吗?你可以通过安装一个杀毒软件来轻松做到这一点。有很多选择但我们建议在您的私人服务器上安装ClamAV。它是一个伟大的开源防病毒解决方案可以对抗木马、恶意软件和其他安全威胁。 在这篇文章中,你将学习如何在CentOS 7上安装ClamAV以获得更好的服务器保护! 一、为什么在Linux服务器上需要反病毒软件?虽然众所周知,Linux是比较安全的操作...
项目自动部署(centos7+js+ssh2)
01-09
1.服务器系统需要是centos系统,用别的系统命令可能不会生效 2.部署采用js+ssh2进行 3.文件上传名称修改fileName 4.尽量自己想,不要无脑复制
docker centos7 安装ssh具体步骤
09-30
主要介绍了 docker centos7 安装ssh相关资料,这里提供了详细的具体安装步骤,需要的朋友可以参考下
centos7离线安装bzip2
11-22
centos7离线安装bzip2
ansible-role-fail2ban:在系统上安装和配置fail2ban
02-02
ansible-role-fail2ban:在系统上安装和配置fail2ban
centos ssh安全防护配置.txt
08-08
centos ssh安全防护配置
CentOS7+安装NVIDIA驱动及cuda
07-26
CentOS7+安装NVIDIA驱动及cuda安装
centos6.6 下 安装 php7 + nginx环境的方法
09-14
主要介绍了centos6.6 下 安装 php7 + nginx环境的方法,总结分析了centos6.6 安装 php7 + nginx环境的相关配置命令与操作技巧,需要的朋友可以参考下
fail2ban:fail2ban食谱的开发存储库
05-08
要求平台类Debian / Ubuntu RHEL / CentOS /科学/亚马逊/ Oracle 费朵拉OpenSUSE厨师厨师13.0+食谱百胜菜谱默认安装fail2ban软件包,管理2个模板: /etc/fail2ban/fail2ban.conf和/etc/fail2ban/jail.conf ,并管理...
centos7安装与环境配置.docx
03-13
centos7安装与环境配置
如何防止DDos攻击的一些个人经验
qq_35141640的博客
07-30 1322
DDoS(Distributed Denial of Service)即分布式拒绝服务。DDoS攻击是指攻击者通过控制大量的僵尸主机,向被攻击目标发送大量精心构造的攻击报文,造成被攻击者所在网络的链路拥塞、系统资源耗尽,从而使被攻击者产生拒绝向正常用户的请求提供服务的效果。可能不少朋友的公司都遭遇过大大小小的这类攻击,导致网站不少时间内都濒临崩溃无法访问,上面被老板催,下面被客户质疑,但一时半会又搞不定的囧境,关键还是公司没运维,没其他人背锅,只能自己团队解决了 之前公司也遇到这种情况,总结一下我们当时是怎
关于nginx防止ddos和cc攻击方法(转)
woody_0011的博客
12-13 1639
CC攻击可以归为DDoS攻击的一种。他们之间都原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击CC攻击又可分为代理CC攻击,和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS,和伪装就叫:cc(ChallengeCollapsar)。而肉鸡CC攻击是黑客使用CC攻击软件,控制大量肉鸡,发动攻击,相比来后者比前者更难防御。因为肉鸡可以模
使用Nginx、Nginx Plus抵御DDOS攻击的方法
weixin_44400506的博客
04-19 181
DDOS 是一种通过大流量的请求对目标进行轰炸式访问,导致提供服务的服务器资源耗尽进而无法继续提供服务的攻击手段。这篇文章主要介绍了使用Nginx、Nginx Plus抵御DDOS攻击的方法,感兴趣的小伙伴们可以参考一下 DDOS 是一种通过大流量的请求对目标进行轰炸式访问,导致提供服务的服务器资源耗尽进而无法继续提供服务的攻击手段。 一般情况下,攻击者通过大量请求与连接使服务器处于饱和状态,以至...
webshell注入-防止DDos攻击-暴力破解root密码-自动劫持密码发送邮件
菜鸟、上路
08-27 5586
一、 webshell使用方法 1、 攻击思路 想要拿下一台主机A的权限: 1)了解一下这个服务器:端口,服务器版本,操作系统版本。找漏洞。 2)拿到对A有一定权限的身份。如果对方是一个WEB服务器,想办法上传webshell然后提权(利用对方的应用程序的漏洞) 3)传上去后,得到apache身份,提权 2、 webshell的使用方法 上传木马程序: 方法1:nginx解析漏洞。 把aa.ph...
centos7 安装 fail2ban
最新发布
09-13
您可以按照以下步骤在CentOS 7上安装Fail2Ban: 1. 首先,更新您的系统软件包。您可以通过运行以下命令来完成: ``` yum update -y ``` 2. 接下来,使用以下命令安装Fail2Ban和iptables: ``` yum install -y iptables iptables-services fail2ban ``` 3. 安装完成后,您可以根据您之前提到的参考中的配置实例进行配置。Fail2Ban的配置文件位于`/etc/fail2ban/jail.conf`,您可以根据需要进行自定义配置。重要的是要确保您配置了需要监控和保护的服务器软件。 4. 配置完成后,使用以下命令启动Fail2Ban和iptables服务,并设置它们在系统启动时自动启动: ``` systemctl start fail2ban systemctl start iptables systemctl enable fail2ban systemctl enable iptables ``` 通过按照上述步骤进行操作,您将能够成功在CentOS 7上安装和配置Fail2Ban。请确保您根据您的实际需求进行相应的配置调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值