Nginx + fail2ban 提高安全性

最新推荐文章于 2024-05-16 16:02:09 发布
最新推荐文章于 2024-05-16 16:02:09 发布
阅读量4.3k 收藏 2
点赞数
分类专栏: 技术杂谈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oyljerry/article/details/48623427
版权

通过Nginx做web server时,发现error.log中有很多连接尝试,这个时候fail2ban可以比较好的对付这些爬虫,探测程序等。

1. Policy配置

# Install fail2ban
sudo apt-get install fail2ban

# Copy jail.conf at /etc/fail2ban/jail.local and edit it.

[nginx-noscript]

enabled = true
port = http,https
filter = nginx-noscript
logpath = /usr/local/nginx-1.8.0/logs/error.log
maxretry = 1
findtime = 60
bantime = 7200

# Create /etc/fail2ban/filter.d/nginx-noscript.conf

[Definition]

failregex = ^.*(.*\.php).*failed.*client: 
  
  
   
   ,.*"$

ignoreregex =


# To block php script attack.

# Restart fail2ban service
sudo service fail2ban restart

# fail2ban Logs
/var/log/fail2ban.log

# Debug filter
fail2ban-regex /usr/local/nginx-1.8.0/logs/error.log /etc/fail2ban/filter.d/nginx-noscript.conf

# List all rule in iptables
sudo iptables -L --line-numbers

# Remove some rule added by fail2ban, n is rule id.
sudo iptables -D fail2ban-nginx-noscript n


    2. 查找分析Log

    因为fail2ban会定期备份日志,所以需要查看IP地址时需要对所有的log进行查找,可以用zgrep 

            zgrep -c 210.213. /var/log/fail2ban.


    3. 配置文件

         /etc/fail2ban/fail2ban.


    4. Log rotate 配置  /etc/logrotate.d/fail2ban

      1 /var/log/fail2ban.log {
  2    
  3     weekly
  4     rotate 4
  5     compress
  6 
  7     delaycompress
  8     missingok
  9     postrotate
 10     fail2ban-client set logtarget /var/log/fail2ban.log >/dev/null
 11     endscript
 12 
 13     # If fail2ban runs as non-root it still needs to have write access
 14     # to logfiles.
 15     # create 640 fail2ban adm
 16     create 640 root adm
 17 }


    5. Permanently Ban Repeat Offenders With Fail2Ban
    Avatar for Todd


    oyljerry
    关注
    • 0
      点赞
    • 2
      收藏
      觉得还不错? 一键收藏
    • 1
      评论
    专栏目录
    nginx+fail2ban+iptables 服务器安全设置
    qq_17054659的博客
    09-15 1478
    iptables设置 1.操作系统为centos7.2,默认firewalld防火墙,为了后续方便,需禁用firewalld启用iptables 2.#先检查是否安装了iptables service iptables status #安装iptables yum install -y iptables #...
    Fail2ban安装配置和配置nginx防护
    完颜振江
    02-04 1487
    一旦你完成了这些步骤,Fail2ban将开始监视Jumpserver的日志文件,并根据你在配置文件中定义的规则来禁止恶意行为。一旦你完成了这些步骤,Fail2ban将开始监视Nginx的日志文件,并根据你在配置文件中定义的规则来禁止恶意行为。根据你的实际需求和安全策略,你可能需要调整Fail2ban的配置和Nginx过滤规则。,如果该文件不存在,你可以创建它。一旦安装完成,你可以修改Fail2ban的配置文件来满足你的需求。请注意,以上仅是一个基本示例,实际配置可能需要根据你的环境和需求进行调整。
    nginx 限流模块和fail2ban搭配使用
    卢衍飞
    11-13 1058
    ngnix的限流模块主要有三个:其中效果最明显的是第三个,但是宝塔面板中的只有前面两项的配置,所以之前一直流量限制没什么用。tcp连接建立是需要三次握手的,是有一定的耗时的。就像打电话一样,得先拨通电话,两方才能讲话交流(请求资源),自然是tcp链接越少越好。那访问一个网站,到底会进行几个tcp连接?如果你的站点是http1.1,连接数目 = 请求数目/ 如果你的站点是http2.0 连接数目 =1http1.1 默认开启keep-alive 特性,支持tcp持久连接,但是由于浏览
    使用 Fail2Ban 配合 Nginx 动态封锁恶意 IP 地址。Fail2Ban 通过解析 Nginx 日志文件,检测恶意行为并自动创建防火墙规则,阻止IP 的访问
    最新发布
    qq_39781244的博客
    05-16 372
    通过上述步骤,你可以有效地使用 Fail2Ban 配合 Nginx 来动态封锁恶意 IP,从而提高你的服务器安全性。定期检查和调整配置,以应对新的威胁和变化的攻击模式。例如,在 Nginx 日志中生成一个 404 错误,观察是否触发了 Fail2Ban 规则。确保你的 Nginx 日志格式包含所有必要的信息。你可以使用默认的 Nginx 日志格式,或者创建自定义格式。在大多数 Linux 发行版上,可以通过包管理器安装 Fail2Ban。中的配置,以便更好地适应你的环境和需求。目录下创建相应的过滤器文件。
    nginx环境安装配置fail2ban屏蔽攻击ip
    weixin_34395205的博客
    12-11 1121
      安装 fail2ban   yum install -y epel-release yum install -y fail2ban 设置 Nginx 的访问日志格式  这个是设置 fail2ban 封禁的关键因素   log_format main '$remote_addr $status $request $body_bytes_sent [$time_local] $ht...
    CentOS fail2ban 安全防护加固 —— 筑梦之路
    筑梦之路
    07-15 1028
    CentOS fail2ban安全防护加固——筑梦之路。
    使用 NGINX 流控和 fail2ban 防止 CC 攻击
    第一天
    07-19 1427
    背景知识 CC * 者通过创建大量请求导致服务器资源耗尽,主要针对特定服务接口,属于实现 DoS 的一种方式(DoS *更多是针对网络端口,而不是具体服务接口)。 NGINX 流控 limit_req_zone:通过“漏桶”算法限制每个 IP 发起的请求频率。 limit_conn_zone:限制每个 IP 发起的连接数。 fail2ban 通过匹配服务器日志操作 iptables ...
    Nginx 安全配置指南技术手册.rar_PFN_nginx_televisiona99_安全运维
    09-22
    **Nginx安全配置指南技术手册** ...以上是Nginx安全配置的一些关键点,通过这些措施,可以显著提高Nginx服务器的安全性。运维人员应结合自身服务器环境和业务需求,灵活调整和应用这些策略,构建一个稳固的安全防线。
    bunkerized-nginx:默认情况下,nginx Docker镜像安全
    02-02
    使用fail2ban自动禁止奇怪的行为 通过Cookie,JavaScript,验证码或Recaptcha v3进行的反机器人挑战 阻止TOR,代理,不良用户代理,国家/地区,... 使用DNSBL和CrowdSec阻止已知的错误IP 通过速率限制防止暴力攻击...
    server-for-web:一次性的全自动Shell脚本,用于安装所有必需的软件,以便在Ubuntu 18.04 LTS上运行Laravel。 创建用户,安装ufw,nginx,php,nodejsyarn,MariaDBMySQL,PostgreSQL,Certbot(让我们加密),Redis,Memcached,Beanstalkd,fail2ban,mosh。 可选参数可用
    05-24
    启用ubuntu自动升级安全性版本使用apt-fast加快安装速度CLI工具: , , whois , , , , , 使用 , , 安装并启用zsh 创建交换文件以避免内存不足自动生成安全且易于复制的密码安装并启用ufw和fail2ban 具有更好...
    swag:带防火墙的安全Web应用程序网关
    04-18
    基于nginx的安全Web应用程序网关,具有集成的Web应用程序防火墙,LetsEncrypt,fail2ban等::wink它被设计为面向公共互联网的纯反向代理。 当然,您也可以在内部使用它,但是您将无法使用LetsEncrypt,因为目前这...
    mkg-infra:我自己的个人基础架构模板,以FOSS开源
    04-30
    mkg-红外线 我自己的个人基础结构模板,以FOSS开源。 在制品,还有更多(还会重写很多东西) 我为什么要发布这个? 主要是因为开放源代码的事物是我编写更好的代码的巨大动力,因为全... 安全性:安装fail2ban,snoop
    Fail2ban安装以及配置
    __都非拉得的专栏
    11-10 2617
    Fail2ban安装以及配置 安装以及启动 $ yum install fail2ban $ systemctl enable fail2ban # 开机启动 $ systemctl start fail2ban # 启动 $ systemct restart fail2ban # 重启 $ fail2ban-client reload # 重新加载配置 $ fail2ban-client status # 查看状态 配置 fail2ban的.conf配置文件都是可以被.local覆盖,所以配置方式建
    nginx配置自动封ip
    qq_32394351的博客
    11-25 3163
    自己写了个脚本,用于服务器自动抵御异常爬虫程序 #!/bin/bash banip_run(){ nginx_home=/usr/sbin/nginx log_path=/var/log/nginx nginx_etc=/etc/nginx/conf.d maxcn=3000 history=50000 cat /dev/null > $log_path/ban_ip_tmp.txt tail -n$history $log_path/access.log \ |awk '{print $1,$
    centos下nginx配置
    banfan0440的博客
    10-30 122
    转自 http://www.linuxidc.com/Linux/2016-09/134907.htm 安装所需环境 Nginx 是 C语言 开发,建议在 Linux 上运行,当然,也可以安装 Windows 版本,本篇则使用 CentOS 7 作为安装环境。 一. gcc 安装安装 nginx 需要先将官网下载的源码进行编译,编译依赖 gcc 环境,如果没有 gcc 环境,则需...
    fail2ban+nginx
    weixin_33743661的博客
    04-24 346
    [root@dev-dbs fail2ban-0.8.14]# cat /data/program/nginx/conf/nginx.confhttp { include mime.types; default_type application/octet-stream; limit_req_zone $binary_remote_addr z...
    fail2ban防止暴力破解-防止nginx服务器web目录被黑客扫描
    热门推荐
    vbird的博客
    10-02 1万+
    1. 背景 刚买了阿里云服务器,准备用来部署自己的一些站点。结果刚把lnmp环境搭建好,才一天的时间就被来自不同地域IP不断的扫描web站点目录,这运气怕是没几个人能遇到了,幸好之前有熟悉过防止暴力破解fail2ban服务。下面就来介绍一下这款服务软件。写这篇博客参加以下文章: http://www.361way.com/fail2ban-nginx/1825.html 参考-匹配RUL规则...
    fail2ban防暴力破解[nginx][sshd]
    爱辉弟的博客
    05-08 1007
    介绍:fail2ban是一款实用软件,可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作。 #需要开启防火墙 安装fail2ban 系统环境Centos6 [root@localhost ~]# yum -y install wget [root@node1 ~]# wget -O /etc/yum.repos.d/epel.repo http://mirrors.ali...
    使用fail2bannginx上防止恶意的请求
    weixin_34301132的博客
    08-15 502
    系统:Ubuntu 12.041.安装fail2banapt-get install fail2ban -yfail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知...
    fail2ban nginx
    09-08
    当你使用Nginx作为网页服务器时,可以结合使用Fail2Ban来增加安全性Fail2Ban是一个用于防止恶意登录和暴力破解的工具,它监视日志文件并采取相应的措施来阻止攻击者。 要在Nginx上启用Fail2Ban,你可以按照以下步骤操作: 1. 安装Fail2Ban:使用适合你的操作系统的包管理器来安装Fail2Ban。例如,在Ubuntu上可以运行以下命令: ``` sudo apt-get install fail2ban ``` 2. 配置Fail2Ban:编辑Fail2Ban的配置文件 `/etc/fail2ban/jail.conf` 或 `/etc/fail2ban/jail.local`,根据你的系统选择一个文件。在该文件中,你可以定义Fail2Ban监视的日志文件和设置封禁规则。 3. 创建自定义NginxFail2Ban规则:在 `/etc/fail2ban/filter.d/` 目录下创建一个名为 `nginx.conf` 的文件,并添加以下内容: ``` [Definition] failregex = ^<HOST>.*"(GET|POST).*HTTP.*" (444|403|401) ignoreregex = ``` 4. 更新Fail2Ban配置:编辑 `/etc/fail2ban/jail.local` 文件,在 `[DEFAULT]` 部分添加以下内容: ``` [nginx] enabled = true filter = nginx action = iptables[name=nginx, port=http, protocol=tcp] logpath = /var/log/nginx/access.log findtime = 3600 maxretry = 5 ``` 这将启用针对NginxFail2Ban规则,并定义了一些参数,如查找时间(findtime)和最大重试次数(maxretry)。 5. 重启Fail2Ban服务:根据你的操作系统,使用适当的命令重启Fail2Ban服务。例如,在Ubuntu上可以运行以下命令: ``` sudo service fail2ban restart ``` 现在,Fail2Ban将开始监视Nginx的访问日志文件,并根据你在配置文件中定义的规则来封禁恶意IP地址。 请注意,以上步骤仅提供了一个简单的示例配置。你可以根据自己的需求进行定制化设置,例如增加更多的Fail2Ban规则或调整封禁参数。同时,确保你的Nginx日志文件路径与Fail2Ban配置文件中指定的路径一致。

    “相关推荐”对你有帮助么?

    • 非常没帮助
    • 没帮助
    • 一般
    • 有帮助
    • 非常有帮助
    提交
    评论 1
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值