fail2ban的使用-控制连接数

最新推荐文章于 2024-06-30 15:26:32 发布
最新推荐文章于 2024-06-30 15:26:32 发布
阅读量700 收藏 1
点赞数
分类专栏: linux-safe linux应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaship/article/details/105041075
版权

Fail2Ban扫描/var/log/auth.log之类的日志文件,并禁止IP地址进行过多的失败登录尝试。它通过更新系统防火墙规则以在可配置的时间内拒绝来自那些IP地址的新连接来实现此目的。 Fail2Ban开箱即用,可以读取许多标准日志文件,例如sshd和Apache的文件,并且可以轻松配置为读取您选择的任何日志文件,以解决所需的任何错误。
在这篇文章中,我将指导您如何使用Fail2Ban保护SSH服务。
首先,您需要安装Fail2ban:
linuxidc@linuxidc:~/www.linuxidc.com$ sudo systemctl start fail2ban
安装后,Fail2ban将立即开始工作,但仅适用于SSH和默认设置。现在添加我们需要的设置。整个配置在文件/etc/fail2ban/jail.conf中。我们将需要更改SSH部分:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 3600
bantime = 86400
maxretry:在findtime参数指定的时间内最大错误连接数
findtime:日志文件中分析错误连接数的时间。以秒计算
bantime:阻塞时间(以秒为单位)
您将要使用以下命令启动并启用Fail2ban服务:
linuxidc@linuxidc:~/www.linuxidc.com$ sudo systemctl start fail2ban
[sudo] linuxidc 的密码:
linuxidc@linuxidc:~/www.linuxidc.com$ sudo systemctl enable fail2ban
Synchronizing state of fail2ban.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable fail2ban
linuxidc@linuxidc:~/www.linuxidc.com$ sudo systemctl restart fail2ban
现在,在一小时内输入5个错误密码后,该地址将被封锁一天。您可以使用以下命令找到包含的保护列表:
fail2ban–client status
您可以使用以下命令查找每个服务的受阻止客户端的统计信息:
fail2ban–client status service_name

现在,我将指导您如何使用Fail2Ban保护WordPress登录页面。
要与WordPress集成,您需要在WordPress中安装WP fail2ban插件。
安装后,需要将WP fail2ban插件文件夹(通常位于wordpress/wp-content/plugins/wp-fail2ban)的文件夹中的wordpress.conf文件复制到Fail2ban文件夹(位于 /etc/fail2ban/filter.d)。然后在/etc/fail2ban/jail.conf件中编辑Fail2ban配置,在其中添加WordPress部分:
[wordpress]
enabled = true
filter = wordpress
logpath = /var/log/auth.log
port = http,https
maxretry = 5
findtime = 3600
bantime = 86400
本节将所有访问错误都写入/var/log/auth.log文件,此过滤器适用于http和https。但是,如果在Web服务器的配置中使用了高速缓存代理,则还需要为WP fail2ban插件指定它,以便它开始从特殊标头中获取客户端地址,而不是Frontend-proxy的地址。为此,请打开wp-config.php文件,并在其中添加包含代理服务器配置的行。
define(‘WP_FAIL2BAN_PROXIES’,‘127.0.0.1’);
127.0.0.1 is the address of the proxy server.
现在,重新启动Fail2ban:
service fail2ban restart

基本原理:
通过过滤ip_conntrack表得到ESTABLISHED状态过多的ip, 然后用iptabels封掉一段时间,同时用hping工具将这些ip从表中清理掉,最后将被封的ip和一些其他信息写到一个html页中,做简单的发布
关于hping:
下载: http://www.hping.org/download.html
安装: ./configure;make;make install
相关联接: http://chinaunix.net/jh/4/367999.html

默认功能:
1, 当一个ip在ip_conntrack表中的ESTABLISHED状态在30-50之间时, 此ip被封10分钟,同时在ip_conntrack表中的记录被清除;50-100之间封15分钟,同时清表;100以上封30分钟,同时清表,
2, 然后生成web页
/var/www/html/wwy/drop/index.html — 显示被封的ip, 和cpu状态等信息
/var/www/html/wwy/all/index.html — 每一个ip的连接情况
3, 生成简单的日志
/tmp/killip/tmp.log.txt

使用方法:
1, 需要安装hping
2, 建议将脚本放到计划任务中
3, 建议安装并开启apache, 为支持简单的web发布,
默认为 http://127.0.0.1/l/wwy/drop/index.htm
4, 如果表的大小大于20mb请慎用

====================================================

代码:
#!/bin/bash

#---------------------------------------------------------------------------------------
#Scrip name: killip, base on ip_conntrack, write by wwy.
#---------------------------------------------------------------------------------------

cpu=sar -u 1 1 | awk '{print $7}' | tail -1%

while [ “pidof sleep” ];do
echo “she is running, sorry”
exit 1
done
if [ ! “lsmod | grep ip_conntrack” ]; then
modprobe ip_conntrack
fi

####################################
##---------------------- functions -----------------------------##
####################################

function make_clr {
while read clr33;do
cat /tmp/tmp111.txt | grep $clr33 >> /tmp/tmp33-3-clr.txt
done < /tmp/tmp33-3.txt
while read clr22;do
cat /tmp/tmp111.txt | grep $clr22 >> /tmp/tmp33-2-clr.txt
done < /tmp/tmp33-2.txt
while read clr11;do
cat /tmp/tmp111.txt | grep $clr11 >> /tmp/tmp33-1-clr.txt
done < /tmp/tmp33-1.txt
}
function clr_conns {
S_IP=$1
D_IP=$2
S_PORT=$3
D_PORT=$4
hping2 $D_IP -R -s $S_PORT -p $D_PORT -a $S_IP -k -c 1 >/dev/null 2>/dev/null &
}
function kill() {
SLEEP_TIME=$1
CLR_LIST=$2
BLACK_LIST=$3
while read blackip;do
iptables -I FORWARD 2 -i eth0 -s $blackip/32 -j DROP
done < $BLACK_LIST
sleep $SLEEP_TIME
#-----------------------------------#
while read clr3;do
clr_conns $clr3
done < $CLR_LIST
#-----------------------------------#
sleep 1
while read reblackip;do
iptables -D FORWARD -i eth0 -s $reblackip/32 -j DROP
done < $BLACK_LIST

}
#####################################
##--------------- To make a “black list” ----------------------##
#####################################

echo > /tmp/tmp11.txt
echo > /tmp/tmp111.txt
echo > /tmp/ip_conntrack.tmp
echo > /tmp/tmp33-3-clr.txt
echo > /tmp/tmp33-2-clr.txt
echo > /tmp/tmp33-1-clr.txt
echo > /tmp/tmp22-3.txt
echo > /tmp/tmp22-2.txt
echo > /tmp/tmp22-1.txt
echo > /tmp/tmp33-3.txt
echo > /tmp/tmp33-2.txt
echo > /tmp/tmp33-1.txt
if [ ! -e /var/www/html/wwy/index.html ];then
mkdir /var/www/html/wwy/
mkdir /var/www/html/wwy/all
mkdir /var/www/html/wwy/drop
5B
touch /var/www/html/wwy/index.html
fi
#----------------------------------------------------------------------------#
echo -e “cp /proc/net/ip_conntrack /tmp/ip_conntrack.tmp …\c”
cp /proc/net/ip_conntrack /tmp/ip_conntrack.tmp
echo -e “done!\n”
sleep 1
#----------------------------------------------------------------------------#
wc=cat /tmp/ip_conntrack.tmp|grep ESTABLISHED|awk -F= '{print $2,$3,$4,$5}'|grep ^172. |sort|awk '{print $1,$3,$5,$7}'|tee /tmp/tmp111.txt|awk '{print $1}'|uniq -c|tee /tmp/tmp11.txt|wc -l
date=date '+%m/%d %H:%M'
cpu2=sar -u 1 1 | awk '{print $7}' | tail -1%
date2=date '+%H'
#----------------------------------------------------------------------------#
sleep 1
#----------------------------------------------------------------------------#
#if [ “KaTeX parse error: Expected 'EOF', got '&' at position 16: wc" -gt 2500 ] &̲& [ "date2” -gt 10 ]
if [ “$wc” -ge 0 ]
then
#------------------------------
awk ‘{$1}{if ($1>30 && $1<50) print $2}’ /tmp/tmp11.txt > /tmp/tmp22-1.txt
awk ‘{$1}{if ($1>=50 && $1<100) print $2}’ /tmp/tmp11.txt > /tmp/tmp22-2.txt
awk ‘{$1}{if ($1>=100) print $2}’ /tmp/tmp11.txt > /tmp/tmp22-3.txt
cut -c1-15 /tmp/tmp22-1.txt > /tmp/tmp33-1.txt
cut -c1-15 /tmp/tmp22-2.txt > /tmp/tmp33-2.txt
cut -c1-15 /tmp/tmp22-3.txt > /tmp/tmp33-3.txt
wcblackip1=cat /tmp/tmp33-1.txt | wc -l
wcblackip2=cat /tmp/tmp33-2.txt | wc -l
wcblackip3=cat /tmp/tmp33-3.txt | wc -l

######################################
##---------------- To make a index.html -----------------------##
######################################

    echo "<b>If the total IPs >2500 <font color=\"#ff0000\">(total $wc at $date)</font> AND if:</b>" > /var/www/html/wwy/drop/index.html
    echo "<p>you connect <b>\">100\"</b>, you ip will be killed in <b>30min</b>.</p>" >>/var/www/html/wwy/drop/index.html
    echo "<p>you connect <b>\"50-100\"</b>, you ip will be killed in <b>15min</b>.</p>" >>/var/www/html/wwy/drop/index.html
    echo "<p>you connect <b>\"30-50\"</b>, you ip will be killed in <b>10min</b>.</p>" >>/var/www/html/wwy/drop/index.html
    echo "<hr color=\"#ff8000\">" >> /var/www/html/wwy/drop/index.html
    echo "<p><b><font color=\"#ff0000\">These IPs (total $wcblackip3 + $wcblackip2 + $wcblackip1) were killed, at <font size=5>$date</font></font>  <a href=../all>(look-up all IPs)</a></b></p>" >> /var/www/html/wwy/drop/index.html
    awk '{$1}{if ($1>=100) print $1, $2}' /tmp/tmp11.txt|sort -nr|awk '{print "<p>""<font color=\"#ff0000\">"$1"</font>""\t","<b>"$2"</b>""\t""kill 30min""</p>"}' >> /var/www/html/wwy/drop/index.html
    awk '{$1}{if ($1>=50 && $1<100) print $1, $2}' /tmp/tmp11.txt|sort -nr|awk '{print "<p>"$1"\t","<b>"$2"</b>""\t""kill 15min""</p>"}' >> /var/www/html/wwy/drop/index.html
    awk '{$1}{if ($1>30 && $1<50) print $1, $2}' /tmp/tmp11.txt|sort -nr|awk '{print "<p>"$1"\t","<b>"$2"</b>""\t""kill 10min""</p>"}' >> /var/www/html/wwy/drop/index.html
    echo "<p><b>You can \"ctrl + F\" to find your ip's connects.(total $wc IPs at $date)</b></p>" > /var/www/html/wwy/all/index.html
    echo "<p><a href=../drop> <-- back </a></p>" >> /var/www/html/wwy/all/index.html
    cat /tmp/tmp11.txt | sort -nr | awk '{print "<p>"$1"\t",$2"\t""</p>"}' >> /var/www/html/wwy/all/index.html

#####################################
##----------------- Use iptables to DROP ---------------------##
#####################################

    make_clr
    if [ -s /tmp/tmp33-3.txt ];then
            kill 30m /tmp/tmp33-3-clr.txt /tmp/tmp33-3.txt &
            sleep 1s
    fi
    if [ -s /tmp/tmp33-2.txt ];then
            kill 15m /tmp/tmp33-2-clr.txt /tmp/tmp33-2.txt &
            sleep 1s
    fi
    if [ -s /tmp/tmp33-1.txt ];then
            kill 10m /tmp/tmp33-1-clr.txt /tmp/tmp33-1.txt &
            sleep 1s
    fi

#-------------------------------
elif [ “KaTeX parse error: Expected 'EOF', got '&' at position 16: date2" -lt 5 ] &̲& [ "date2” -gt 3 ]
then
while read clrall;do
clr_conns $clrall
done < /tmp/tmp111.txt
echo "clr at $date " >> /tmp/killip/tmp.log.txt
fi

#####################################
##------------------- make system log ------------------------##
#####################################
if [ ! -e /tmp/killip/tmp.log.txt ]; then
mkdir /tmp/killip
touch /tmp/killip/tmp.log.txt
fi
echo “$wc $date $cpu $cpu2 $wcblackip3 + $wcblackip2 + $wcblackip1” >> /tmp/killip/tmp.log.txt

seaship
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CentOS 8 安装 fail2ban + Firewalld 防止 SSH 暴力破解
weixin_53111034的博客
10-28 1473
防止网上黑客利用SSH对系统账号进行暴力破解,首先要禁止关键账户如root远程登录。但仅仅这样是不够的。黑客对系统的不停登录尝试对系统性能和带宽也有一定影响,尤其是你订阅的带宽少的可怜的时候。这种情况下,就需要想办法把这种恶意IP地址屏蔽掉。Fail2ban是一款不错的工具,结合CentOS的Firewalld可以做到对多种端口和协议的保护,设置起来也比较简单。 1、检查Firewalld是否启用 firewall-cmd --state 如果显示 running 表明防火墙工作中,如果没有,
fail2ban-0.9.4.tar
09-03
fail2ban是一款实用软件,可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作。
fail2ban
wang94sh11b3的博客
10-18 400
fail2ban
利用 fail2ban 保护 SSH 服务器
最新发布
06-30 1052
左右左右下下 按按 滴——抓娃娃机。
Fail2ban工具
探索世界,改变世界
06-05 828
一、fail2ban简介 fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员,是不是很好、很实用、很强大! 二、简单来介绍一下fail2ban的功能和特性 1、支持大量服务。如sshd,apache,qmail,proftpd,sasl等等 2、支持多种动作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(邮件通知)等等。
Fail2ban详细教程,解决网站被扫描、CC攻击、ssh暴力破解、防爬虫等问题
w710537643的博客
02-12 7328
最近网站总是被高频度扫描,导致数据库连接过多,打开页面报“Error establishing a database connection“错误。最开始写了个监控网站的脚本,一旦发现网站打不开,重启数据库就好了。但是这几天网站挂掉的频率越来越高,不得不开始寻找新的办法了。 对于网站被恶意扫描、暴力破解、CC 攻击这一系列攻击,都有相似的特征,即高频率发请求导致主机资源使用率飙高。对于这些问题,必须要做两件事,一个是识别恶意发请求的 IP,并封禁;二个是实现网站缓存、静态化等功能减少数据库查询。今天介...
zabbix-fail2ban-discovery-
05-17
将文件放在/etc/zabbix/zabbix_agentd.d/fail2ban.conf或/etc/zabbix/zabbix_agentd2.d/fail2ban.conf代理2的文件/etc/zabbix/zabbix_agentd2.d/fail2ban.conf2.授予对Fail2Ban的访问权限默认情况下,Fail2ban仅...
go-fail2ban.zip
03-06
用go所写的fail2ban补充程序,防范freeswith被盗打
F2B-Report:Fail2Ban Web报告
05-25
Fail2Ban Web报告要求CentOS 5.x Fail2Ban已安装Web服务器引擎(例如Apache或类似的东西) 无需数据库如何使用它? 安装以下软件包。 yum install git sysstatyum install GeoIP克隆到计算机git clone ...
fail2ban-cloudflare:将fail2ban与Cloudflare API集成
05-08
fail2ban-cloudflare-适用于Cloudflare API V4 将Fail2ban与Cloudflare API(V4)集成在一起,以使用Nginx和Roboo减轻HTTP泛洪攻击。 要求: Nginx的 Roboo( ) Fail2ban 一个Cloudflare帐户( ) Ruby 1.9.3...
centos下fail2ban安装与配置详解
09-15
主要介绍了centos下fail2ban安装与配置实例,fail2ban是一个实用、强大的Linux安全软件,可以监控大多数常用服务器软件,需要的朋友可以参考下
CentOS fail2ban 安全防护加固 —— 筑梦之路
筑梦之路
07-15 1139
CentOS fail2ban安全防护加固——筑梦之路。
使用fail2ban解决暴力破解问题
qq_42499737的博客
07-14 761
本测试需要的环境: 1)系统: centos7 python 版本大于2.4 具体操作步骤: 1.编译安装fail2ban需要从官网下载包,解压安装即可 fail2ban官网下载包链接 2.使用yum安装fail2ban [root@zmedu63 ~]# yum -y install epel-release [root@zmedu63 ~]# yum -y install fail2ban 3.相关主要文件说明 /etc/fail2ban/action.d #动作文件夹,内含默认文件。iptable
CentOS8下安装配置Fail2ban
allway2的博客
08-12 1420
Fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽),如:当有人在试探你的HTTP、SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的软件! Fail2ban由python语言开发,基于logwatch、gamin、iptables、tcp-wrapper、shorewall等。如果想要发送邮件通知道,那还需要安装postfix或s
Centos8,Red Hat8安装fail2ban及配置
06-18 361
centos7.4 可以利用 /etc/hosts.deny,写 但是centos8 不能用 /etc/hosts.deny 了,于是
如何在 RHEL 8 / CentOS 8 上安装使用 Fail2Ban ?
xiaochong0302的博客
01-10 1050
Fail2ban 是一种开源的入侵检测措施,可以减轻针对各种服务(例如 SSH 和 VSFTPD)的暴力攻击。它提供了包括 SSH 在内的一系列过滤器,您可以自定义这些过滤器来更新防火墙规则,并阻止未经授权的 SSH 登录尝试。
服务器安全神器,Linux 上安装 Fail2Ban 保护 SSH
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
12-10 1878
IIRC,DenyHosts 只会监视您的 SSH 服务。如果您还需要它来保护其他服务,Fail2ban 绝对是更好的选择。如果您愿意调整其配置,它几乎可以配置为监视任何服务,但这不是必需的,因为较新版本的 Fail2ban 包含适用于许多流行服务器守护程序的规则集。在简单的 iptables 速率限制上使用 fail2ban 的好处是可以在指定的时间内完全阻止攻击者,而不是简单地降低他攻击你的服务器的速度。我在许多生产服务器上使用fail2ban 并取得了很好的效果,并且自从我开始使用它以来从未见过其
ubuntu使用fail2ban_如何在Ubuntu 20.04上安装和配置Fail2ban
weixin_30800249的博客
01-14 918
暴露给Internet的任何服务都有遭受恶意软件攻击的风险。 例如,如果您在可公开访问的网络上运行服务,则攻击者可以使用暴力手段尝试登录您的帐户。Fail2ban是一种工具,可通过监视服务日志中的恶意活动来帮助保护Linux机器免受暴力攻击和其他自动攻击。 它使用正则表达式来扫描日志文件。 对所有与模式匹配的条目进行计数,当它们的数量达到某个预定义的阈值时,Fail2ban会在特定时间段内使用系统...
fail2ban 使用示例
03-29
以下是一个基本的 fail2ban 使用示例: 1. 安装 fail2ban 在终端中输入以下命令: ```sudo apt-get install fail2ban``` 2. 配置 fail2ban 打开 /etc/fail2ban/jail.conf 文件,找到要保护的服务(如 SSH),并将其启用。例如: ``` [sshd] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3 ``` 这将启用 SSH 保护,当有超过 3 次登录失败尝试时,该 IP 地址将被禁止。 3. 重启 fail2ban 在终端中输入以下命令: ```sudo service fail2ban restart``` 4. 查看 fail2ban 日志 在终端中输入以下命令: ```sudo tail -f /var/log/fail2ban.log``` 这将显示 fail2ban 的运行日志,包括禁止的 IP 地址和原因。 以上是一个基本的 fail2ban 使用示例,你可以根据你的需求进行更改和定制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值