fail2ban配置与说明

最新推荐文章于 2024-08-20 14:42:14 发布
最新推荐文章于 2024-08-20 14:42:14 发布
阅读量581 收藏
点赞数
文章标签: 运维 网络 python
原文链接:http://www.cnblogs.com/issue/archive/2013/05/02/3054921.html
版权

  

1. 安装比较简单
tar xvfj fail2ban-0.8.4.tar.bz2
cd fail2ban-0.8.4
python  setup.py install
cd files
cp ./redhat-initd /etc/init.d/fail2ban
chkconfig --add fail2ban
service fail2ban start
2. 设定fail2ban 服务
fail2ban  的设定档在这里
/etc/fail2ban
fail2ban.conf               日志设定文档
jail.conf                        阻挡设定文档
/etc/fail2ban/filter.d  具体阻挡内容设定目录
3. 实施保护
总体配置:
ignoreip = 127.0.0.1  
# ip 或者ip 段不会被封锁
bantime = 60000
# 出错一次封锁的时间
findtime = 600
# 在多少秒内出现规定次数就开始工作
maxretry = 2
# 最大尝试次数,下面的次数可以覆盖这里的次数
1.  保护 SSH  拦截
先看看fail2ban 是如何拦截的?
cat /etc/fail2ban/filter.d/sshd.conf
failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$
            ^%(__prefix_line)sFailed [-/\w]+ for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$
            ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
            ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
            ^%(__prefix_line)sUser \S+ from <HOST> not allowed because not listed in AllowUsers$
            ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
            ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
            ^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT\s*$
fail2ban  使用了正则表达式找出:
Authentication failure/authentication failure
ROOT LOGIN REFUSED
refused connect from
POSSIBLE BREAK-IN ATTEMPT
not allowed because not listed in AllowUsers
以上的状况,可以根据你实际要求删减其中<HOST>  为建立连接的IP
开启 SSH  拦截
vi /etc/fail2ban/jail.conf
[ssh-iptables]
enabled = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, dest= 收件者电邮地址, sender= 寄件者电邮地址]
logpath = /var/log/secure
maxretry = 3
findtime = 300
bantime = 86400
fail2ban  会按照你的要求去查看/var/log/secure 日志文件, 然后在findtime = 300 "5 分钟之内符合条件
的记录下来,如果到达了maxretry = 3 "3 次符合条件就阻挡这个IP 连接22 端口 bantime = 86400 " 一天的时间".
2. POP3  保护拦截
cat /etc/fail2ban/filter.d/courierlogin.conf
failregex = LOGIN FAILED, .*, ip=\[<HOST>\]$
这里表示错误地输入用户名/密码的pop3 连接.
开启 pop3  保护
vi /etc/fail2ban/jail.conf
[POP3]
enabled = true
filter   = courierlogin
action   = iptables[name=pop3, port=110, protocol=tcp]
logpath = /var/log/maillog
bantime = 1800
findtime = 300
maxretry = 15
大家应该懂得如何看了吧?   我不写拉!好累。参数可以按照你实际要求修改噢~!
3. POP3-SSL  保护拦截
cat /etc/fail2ban/filter.d/courierlogin-ssl.conf
failregex = LOGIN FAILED, .*, ip=\[<HOST>\]$
这里表示错误地输入用户名/密码的pop3-ssl 连接.
vi /etc/fail2ban/jail.conf
[POP3-SSL]
enabled = true
filter   = courierlogin-ssl
action   = iptables[name=pop3-ssl, port=995, protocol=tcp]
logpath = /var/log/maillog
bantime = 1800
findtime = 300
maxretry = 15
4 SMTP  保护拦截
cat /etc/fail2ban/filter.d/couriersmtp.conf
failregex = postfix/smtpd.* warning: unknown\[<HOST>\]: SASL LOGIN authentication failed: authentication failure
这里表示错误地输入用户名/密码的smtp 连接.
vi /etc/fail2ban/jail.conf
[SMTP]
enabled = true
filter   = couriersmtp
action   = iptables[name=smtp, port=25:366, protocol=tcp]
logpath = /var/log/maillog
bantime = 1800
findtime = 300
maxretry = 15
参数可以按照你实际要求修改.
5. Extmail  登录保护
由于Extmail  web mail  登入没有做到保护,现在加固吧!
vi /etc/fail2ban/filter.d/extmail.conf
failregex = extmail.*: user=.*, client=<HOST>, module=login, status=badlogin
这里表示错误地输入用户名/密码的web mail  登入.
vi /etc/fail2ban/jail.conf
[extmail]
enabled = true
filter   = extmail
action   = iptables[name=httpd, port=http, protocol=tcp]
logpath = /var/log/maillog
bantime = 300
findtime = 300
maxretry = 6
6. POSTFIX  保护User unknow  的试探.
不知道这个动作的意思先看看这篇文章。
vi /etc/fail2ban/filter.d/postfix.conf
failregex = reject: RCPT from (.*)\[<HOST>\]: 450
vi /etc/fail2ban/jail.conf
[POSTFIX]
enabled = true
filter   = postfix
action   = iptables[name=postfix, port=25, protocol=tcp]
logpath = /var/log/maillog
bantime = 43200
findtime = 1200
maxretry = 5
这里保护了User unknow  的试探以及垃圾邮件跳信攻击。
  看看iptables
iptables -L -nv
pkts bytes target     prot opt in     out     source               destination         
    0     0 fail2ban-pop3-ssl tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:995 
773 83329 fail2ban-postfix tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25 
299 12660 fail2ban-pop3 tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:110 
301 12740 fail2ban-ftp tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:21 
3354 253K fail2ban-SSH tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
438 33979 fail2ban-httpd tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination        
Chain OUTPUT (policy ACCEPT 5703 packets, 829K bytes)
pkts bytes target     prot opt in     out     source               destination        
Chain fail2ban-SSH (1 references)
pkts bytes target     prot opt in     out     source               destination         
3354 253K RETURN     all -- *      *       0.0.0.0/0            0.0.0.0/0          
Chain fail2ban-ftp (1 references)
pkts bytes target     prot opt in     out     source               destination         
301 12740 RETURN     all -- *      *       0.0.0.0/0            0.0.0.0/0          
Chain fail2ban-httpd (1 references)
pkts bytes target     prot opt in     out     source               destination         
438 33979 RETURN     all -- *      *       0.0.0.0/0            0.0.0.0/0          
Chain fail2ban-pop3 (1 references)
pkts bytes target     prot opt in     out     source               destination         
299 12660 RETURN     all -- *      *       0.0.0.0/0            0.0.0.0/0          
Chain fail2ban-pop3-ssl (1 references)
pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all -- *      *       0.0.0.0/0            0.0.0.0/0          
Chain fail2ban-postfix (1 references)
pkts bytes target     prot opt in     out     source               destination         
773 83329 RETURN     all -- *      *       0.0.0.0/0            0.0.0.0/0          
Chain fail2ban-smtp (0 references)
pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all -- *      *       0.0.0.0/0            0.0.0.0/0          
如何监察呢?
#watch -n 1 fail2ban-client status POSTFIX
Status for the jail: POSTFIX
|- filter
| |- File list:    /var/log/maillog 
| |- Currently failed:    2
| `- Total failed:    22
`- action
   |- Currently banned:    0
   | `- IP list:    
   `- Total banned:    0
看看那些垃圾邮件者真是好无聊!不断地试探我的邮件服务器呢。
  看看fail2ban 的日志
# cat fail2ban.log | grep 'Ban '
2009-04-07 20:22:44,575 fail2ban.actions: WARNING [POSTFIX] Ban ip 地址
就以看到过去有那些IP 拦截了,以及是那个服务。
# cat fail2ban.log | grep '] Unban '
 
 
1.  修改/usr/bin/fail2ban-client 文件的def __processCmd 函数,在for c in cmd: 那行下面增加一行:time.sleep(0.1) 。保存、重启fail2ban 。这里是修复一个fail2ban bug

    2. /etc/fail2ban/jail.conf配置文件中,要确保每个action=那行的iptables[name=这里的name的字符长度不要超过21个。否则iptable chain name会超标

转载于:https://www.cnblogs.com/issue/archive/2013/05/02/3054921.html

weixin_30871701
关注
ubuntu使用fail2ban_「干货分享」手把手教你如何使用Fail2Ban保护Linux服务器
weixin_42540248的博客
12-24 694
导语:解决问题肯定是越简单越好,而Fail2Ban就是解决棘手问题的一种优雅的解决方案,它只需很少的配置,几乎不会给您或您的计算机带来任何操作开销。使用Fail2Ban,您的Linux计算机会自动阻止连接失败过多的IP地址。这是自我调节的安全性!我们将向您展示如何使用它。提醒:不熟悉Fail2Ban的朋友请跳到文末,查看本文对Fail2Ban的简介。安全、安全、安全!重要的事情说三遍温莎公爵夫人沃...
fail2ban原理与安装(centos6)
来自一条咸鱼的洽谈
08-17 1494
fail2ban 原理 首先我们去访问一个服务器的时候,一定会留下访问日志。比如说我们用ssh来访问我们的虚拟机,我们可以去看/var/log/secure。 如果我们有一个ip访问,登录失败了>=3次, 使用防火墙规则iptables 来屏蔽掉IP fail2ban就是一个防止暴力破解的一个软件,能够监控系统日志,匹配日志中的错误信息(使用正则表达式),执行相应的屏蔽动作(支持多种,一般为调用 iptables )简单来说如果短时间内一个ip来访问我们的服务器,如果密码失败次数多我们可以来限制他。让
Fail2ban 配置
weixin_30708329的博客
06-09 124
本例为wordpress管理员登陆限制安装rpm -Uvh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpmyum -y install fail2ban配置默认开启了ssl控制介绍目录 action.d 下的文件指定满足条件时执行的一些动作,比如使用 iptables 禁止 ip 访问。...
fail2ban 配置文件说明
weixin_34367845的博客
04-27 550
/etc/fail2ban/action.d #动作文件夹,内涵默认文件,iptables 以及mail等配置/etc/fail2ban/fail2ban.conf #定义了 fail2ban 日志级别、日志位置及sock文件位置/etc/fail2ban/filter.d #条件文件夹,包含默认文件,过滤日志关键内容设置/etc/fail2ban/jail.conf #主要...
加固系统安全,防范ssh暴力破解之Fail2Ban
最新发布
baimao__Ch的博客
08-20 782
我不认为Fail2Ban是解决安全问题的“银子弹”。但是你不能否认Fail2Ban是一个简单有效的恶意嗅探/暴力攻击的有效的方法。它只需很少的配置,几乎不会给我们的服务器带来任何操作开销。更重要的是,它没有任何成本,除了安装配置所付出的几分钟时间。还犹豫什么呢?学习计划安排我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
Fail2ban 安装配置
梦想当上海贼王
02-03 805
Fail2ban安装和配置 安装前提 为了使Fail2ban与iptables联动,需禁用自带的firewalld服务,同时安装iptables服务 关于Fail2ban 监视日志,根据日志进行正则匹配,然后执行相应的匹配动作(一般都是调用系统防火墙进行屏蔽) 使用Fail2ban 配合iptables 实现动态防火墙 安装 wget https://codeload.github.com/fail2ban/fail2ban/tar.gz/0.8.14 tar -xf 0.8.14.tar.gz cd
fail2ban 的安装配置
weixin_33894640的博客
06-28 188
fail2ban 是 Linux 上的一个著名的***保护的开源框架,它会监控多个系统的日志文件(例如:/var/log/auth.log 或者 /var/log/secure)并根据检测到的任何可疑的行为自动触发不同的防御动作。在基本的安全方面,fail2ban 在防御对SSH服务器的暴力密码破解上非常有用。 接下来就说一下基本的配置:1.下载源下...
Fail2ban安装以及配置
__都非拉得的专栏
11-10 2785
Fail2ban安装以及配置 安装以及启动 $ yum install fail2ban $ systemctl enable fail2ban # 开机启动 $ systemctl start fail2ban # 启动 $ systemct restart fail2ban # 重启 $ fail2ban-client reload # 重新加载配置 $ fail2ban-client status # 查看状态 配置 fail2ban的.conf配置文件都是可以被.local覆盖,所以配置方式建
centos下fail2ban安装与配置详解
09-15
主要介绍了centos下fail2ban安装与配置实例,fail2ban是一个实用、强大的Linux安全软件,可以监控大多数常用服务器软件,需要的朋友可以参考下
CentOS下Fail2ban安装配置详解与服务监控
本文将详细介绍在CentOS系统上安装与配置fail2ban的过程,以及其功能和特性。fail2ban是一款强大的Linux安全软件,它通过监控系统日志并利用正则表达式匹配异常行为,自动执行相应的安全封锁措施,如防火墙规则,并...
CentOS 8 安装 fail2ban + Firewalld 防止 SSH 暴力破解
weixin_53111034的博客
10-28 1565
防止网上黑客利用SSH对系统账号进行暴力破解,首先要禁止关键账户如root远程登录。但仅仅这样是不够的。黑客对系统的不停登录尝试对系统性能和带宽也有一定影响,尤其是你订阅的带宽少的可怜的时候。这种情况下,就需要想办法把这种恶意IP地址屏蔽掉。Fail2ban是一款不错的工具,结合CentOS的Firewalld可以做到对多种端口和协议的保护,设置起来也比较简单。 1、检查Firewalld是否启用 firewall-cmd --state 如果显示 running 表明防火墙工作中,如果没有,
安装配置fail2ban防止暴力破解
likunwen_001的专栏
03-25 1733
安装配置fail2ban防止暴力破解 发表于2年前(2013-02-20 22:07)   阅读(555) | 评论(0) 1人收藏此文章,我要收藏 赞0 如何快速提高你的薪资?-实力拍“跳槽吧兄弟”梦想活动即将开启 何为fail2ban fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽),如:当有人在
fail2ban配置教程 有效防止服务器被暴力破解
万万没想到
07-10 3409
最近这两天在华为云的服务器上搭建了一个《我的世界》私服,原来这台服务器是放了个小破站点,后来迁移到腾讯云了,结果就闲置了,在我搭建那个私服的时候是重置了系统的,结果服务器上配置的那些规则,安全软件就都没了,我也没太注意,心想哪有人会来攻击或者破解我这太啥也没有的服务器。 可昨晚到今天······ 我陆陆续续收到好多,这种邮件,没错,即使你的vps上啥服务也没有,也有人攻击。 控制台看了以下,是对登陆密码的暴力破解 阻止爆破很简单,只需要一款软件即可搞定,并且免费开源。 Fa.
fail2ban安全设置
weixin_33971205的博客
09-28 224
1、先安装fail2ban服务包(这里我采用的是fail2ban-0.8.14.tar.gz) 2、解压安装包 cd /data/software tar xzffail2ban-0.8.14.tar.gz 由于是Python编写的安装包,所以执行 cdfail2ban-0.8.14 python setup.py install 安装完成 3、进入到fail2ban配置路径...
Fail2ban配置
04-05 1688
一 安装 Fail2ban 服务 下载rpmforge , 里面有大量最新的rpm包. wget http://dag.wieers.com/rpm/packages/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.i386.rpm rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm
通过fail2ban使服务器成获得额外的安全性
心生于物而死于物
08-08 624
Fail2Ban 打出服务器安全的组合拳 [code="shell"]sudo apt-get update sudo apt-get install fail2ban[/code] 安装完后服务会自动启动, 该服务的fail2ban保持在它的配置文件/etc/fail2ban目录。 有一个与默认称为文件jail.conf 。 由于此文件可以通过软件包升级进行修改,因此我们...
Fail2Ban增强POP3 SMTP防护功能,并邮件通知.
Robert's Log
11-04 976
Sub 带附件答复() Dim rpl As Outlook.MailItem Dim itm As Object Set itm = GetCurrentItem() If Not itm Is Nothing Then Set rpl = itm.ReplyAll CopyAttachments itm, rpl rpl.Display End If Set rpl = Nothing S...
fail2ban 帮助postfix 过滤恶意IP
weixin_33752045的博客
10-11 302
2019独角兽企业重金招聘Python工程师标准>>> ...
接上一篇Centos下fail2ban 的各种配置规则详解 包含apache/nginx/mysql防御规则
weixin_38912950的博客
09-04 604
请在安装完fail2ban后立即重启fail2ban,以确保它能够正常启动。如果在配置规则后出现启动问题,请检查日志路径是否正确,并根据需要修改logpath项。如果仍然存在问题,您可以尝试将规则的enabled属性设置为false,然后重新启动fail2ban,然后逐一排查规则配置中的问题。上一篇我们已经写了fail2ban 安装到测试的全过程,这里我们补充一下fail2ban的各种规则的设置,我们主要基本都是编辑。这个配置文件就可以了,其他的不要去管它。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值