基于Fail2Ban入侵防御软件预防通过ssh暴力破解

最新推荐文章于 2024-10-02 10:53:34 发布
最新推荐文章于 2024-10-02 10:53:34 发布
阅读量380 收藏 6
点赞数 5
文章标签: ssh 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45625174/article/details/141725678
版权

1. Fail2Ban入侵防御软件介绍

  • Fail2Ban是一款开源的入侵防御软件,它通过自动分析系统日志文件来识别恶意的登录尝试(如暴力破解攻击),并能够动态更新防火墙(iptables)规则来暂时禁止这些攻击源的IP地址。
  • Fail2Ban使用Python编写,能够在支持POSIX的系统上运行,如Linux和其他类Unix系统。它支持多种服务,如SSH、Apache、mysql、nginx、FTP等,并且可以通过正则表达式来定制匹配规则,以适应不同的日志格式和攻击模式。Fail2Ban的配置灵活,允许用户根据需要调整封禁时间、尝试次数等参数,并且可以配置邮件通知等额外的动作。

2. Fail2Ban工作方式

  1. 监控日志文件Fail2Ban定期检查指定的日志文件,如SSH、HTTP、FTP等服务的日志文件,以寻找潜在的恶意活动。

  2. 应用正则表达式过滤:通过预定义的过滤规则(通常基于正则表达式),Fail2Ban分析日志文件中的条目,以识别出攻击模式,如多次登录失败。

  3. 匹配和记录:当日志中的条目匹配到过滤规则时,Fail2Ban会记录相关的信息,包括攻击者的IP地址和时间戳。

  4. 执行响应动作:一旦检测到攻击行为,Fail2Ban会根据配置执行相应的动作,最常见的是将攻击者的IP地址添加到防火墙规则中,暂时禁止其访问。

  5. 自动解封策略Fail2Ban还提供了自动解封功能,可以在一段时间后自动解除对IP地址的封锁,以避免误封禁合法用户。

  6. 配置灵活性:用户可以根据需要调整各种参数,如封禁时间、尝试次数阈值等,以及定义自定义的过滤规则和动作.

3. Fail2Ban的优点和缺点

  • Fail2Ban的优点:
  1. 自动化阻止恶意行为Fail2Ban可以自动检测到恶意登录尝试或其他攻击模式,并采取措施阻止攻击者的IP地址,减轻管理员的工作负担。
  2. 灵活配置:提供了丰富的配置选项,允许用户根据实际需要调整规则、封禁时间和阈值等。
  3. 支持多种服务:内置了多种过滤器,支持对SSH、HTTP、FTP等多种服务的日志进行监控和保护。
  4. 集成其他安全工具:可以与现有的安全工具(如防火墙)集成,提高整体的安全防护能力。
  5. 自动解封功能:在一定时间后自动解除对IP地址的封锁,避免误封禁合法用户。
  • Fail2Ban的缺点:
  1. 可能误封合法用户:在某些情况下,Fail2Ban可能会误判正常用户的行为,导致误封IP地址。
  2. 无法防御所有类型的攻击:对于一些高级的攻击行为,如分布式拒绝服务(DDoS)攻击,Fail2Ban可能无法提供有效的防御。
  3. 配置可能较为繁琐:需要用户自定义规则,对于不熟悉正则表达式和系统日志的用户来说,配置可能比较复杂。
  4. 依赖于日志分析Fail2Ban的工作原理基于对系统日志的分析,如果攻击者使用了不产生典型日志记录的手段,Fail2Ban可能无法检测到这些攻击。

4. 安装配置 Fail2Ban

#安装Fail2Ban
yum -y install epel-release.noarch
yum  -y install  fail2ban
#复制fail2ban的配置文件
cp  -rp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
#自定义ssh相关规则
vim  /etc/fail2ban/jail.d/sshd.local
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/secure
maxretry = 5
findtime = 1200
bantime = 86400
#启动服务
systemctl start fail2ban
#设置开机自启
systemctl enable fail2ban
#查询都有哪些IP地址触发规则
fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 3
|  |- Total failed:     57
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 19
   |- Total banned:     19
   `- Banned IP list:   122.237.103.241 211.186.78.102 210.105.9.27 80.94.95.81 220.250.41.11 146.59.80.142 198.245.55.32 141.98.10.126 43.130.47.105 180.184.65.71 209.97.174.58 125.91.34.106 159.223.105.130 183.81.169.238 36.40.84.110 117.50.174.21 154.211.15.218 134.209.27.56 62.172.118.2


#这款软件是通过iptables来做限制,可以验证一下
[root@localhost ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
f2b-sshd   tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     ctstate RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:68

Chain f2b-sshd (1 references)
target     prot opt source               destination
REJECT     all  --  161.35.184.153       0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  121.228.46.94        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  91.134.243.207       0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  159.203.2.142        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  89.208.104.147       0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  62.172.118.2         0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  125.91.34.106        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  122.237.103.241      0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  159.223.105.130      0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  210.105.9.27         0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  146.59.80.142        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  141.98.10.126        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  183.81.169.238       0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  117.50.174.21        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  36.40.84.110         0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  180.184.65.71        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  154.211.15.218       0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  134.209.27.56        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  43.130.47.105        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  198.245.55.32        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  220.250.41.11        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  80.94.95.81          0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  211.186.78.102       0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  209.97.174.58        0.0.0.0/0            reject-with icmp-port-unreachable
RETURN     all  --  0.0.0.0/0            0.0.0.0/0
  • 这里的配置意味着
    ● maxretry设置为5,表示在findtime时间窗口内(这里设置为20分钟),如果有超过5次登录失败,则触发封禁。
    ● bantime设置为86400秒(24小时),表示被封禁的IP地址将在24小时内无法访问SSH服务。
小鱼儿&
关注
Fail2Ban工具简介与使用
墨痕诉清风的博客
04-23 1178
Fail2Ban 是一款入侵防御软件,可以保护服务器免受暴力攻击。它是用 Python 编程语言编写的。Fail2Ban 基于auth 日志文件工作,默认情况下它会扫描所有 auth 日志文件,如等,并禁止带有恶意标志的IP,比如密码失败太多,寻找漏洞等等标志。通常,Fail2Ban 用于更新防火墙规则,用于在指定的时间内拒绝 IP 地址。它也会发送邮件通知。Fail2Ban 为各种服务提供了许多过滤器,如ssh、apache。
加固系统安全,防范ssh暴力破解Fail2Ban
zzz6583zz的博客
08-27 824
我不认为Fail2Ban是解决安全问题的“银子弹”。但是你不能否认Fail2Ban是一个简单有效的恶意嗅探/暴力攻击的有效的方法。它只需很少的配置,几乎不会给我们的服务器带来任何操作开销。更重要的是,它没有任何成本,除了安装配置所付出的几分钟时间。还犹豫什么呢?学习计划安排我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
SSH攻击ip列表【不定时更新】
热门推荐
icquu的博客
09-01 13万+
以下是最近对所拥有主机发起ssh攻击的ip地址,强烈建议把这些地址加入到/etc/hosts.deny列表中。如果您的主机地址出现在本列表且不是您本人操作,那么请检查您的服务器。
AutoGripe:使用 SMTP 或 Gmail 发送滥用投诉的 fail2ban 操作脚本
06-14
AutoGripe 使用 SMTP 或 Gmail 发送滥用投诉的 fail2ban 操作脚本。 它受到sendmail-complain启发,并使用 abusix 滥用联系人数据库来获取滥用电子邮件地址。 它是为那些不想设置整个邮件服务器只是为了发送滥用报告的人而设计的; 通过 sendmail 本身发送的报告可能会被垃圾邮件过滤器捕获。 AutoGripe 允许您通过 SMTP 使用已经存在的电子邮件帐户。 要求 AutoGripe 使用 Python,并需要 ipaddr 和 dns 模块。 在 Debian/Ubuntu 系统上,这些将是python-dnspython和python-ipaddr包。 AutoGripe 是fail2ban的动作脚本,所以如果你还没有安装它,你应该安装它。 已知的问题 使用滥用电子邮件的最大缺点是退回邮件,尤其是来自中国的邮件。 你会收到不存
使用 NGINX 流控和 fail2ban 防止 CC 攻击
第一天
07-19 1448
背景知识 CC * 者通过创建大量请求导致服务器资源耗尽,主要针对特定服务接口,属于实现 DoS 的一种方式(DoS *更多是针对网络端口,而不是具体服务接口)。 NGINX 流控 limit_req_zone:通过“漏桶”算法限制每个 IP 发起的请求频率。 limit_conn_zone:限制每个 IP 发起的连接数。 fail2ban 通过匹配服务器日志操作 iptables ...
基于Fail2ban及iptables的SSH端口爆破防御方案
钟言的博客
07-15 2409
本篇为基于Fail2ban及iptables的SSH端口爆破防御方案,详细内容包含了:、本篇介绍 Fail2ban 1、简介 2、工作方式 3、优缺点 4、工作原理 5、目录结构 6、功能特点 更改默认SSH端口 1、更改配置文件 2、重启服务 四、SSH日志审计 1、连接失败的IP 2、失败IP次数排行 3、连接成功的IP 4、成功IP次数排行 五、Fail2ban1、安装 2、配置 3、日志查看4、命令补充 5、与1panel联动配置 六、蜜罐伪造22端口等内容。
使用 fail2ban 防御服务器被SSH暴力攻击
小陌成长之路
04-05 3096
fail2ban 是 Linux 上的一个著名的入侵保护的开源框架,它会监控多个系统的日志文件(例如: /var/log/secure )并根据检测到的任何可疑的行为自动触发不同的防御动作。事实上,fail2ban防御SSH服务器的暴力密码破解上非常有用。
挡不住的入侵者?试试Fail2ban,拦截黑客攻击
todoitbo的博客
04-21 1万+
本文将深入介绍Fail2ban工具的功能和用法,帮助读者理解如何通过Fail2ban来保护服务器免受恶意登录和暴力破解的攻击。我们将详细讨论Fail2ban的配置方法、工作原理和优化技巧,以及如何应对不同类型的攻击。
ubuntu使用fail2ban_「干货分享」手把手教你如何使用Fail2Ban保护Linux服务器
weixin_42540248的博客
12-24 685
导语:解决问题肯定是越简单越好,而Fail2Ban就是解决棘手问题的一种优雅的解决方案,它只需很少的配置,几乎不会给您或您的计算机带来任何操作开销。使用Fail2Ban,您的Linux计算机会自动阻止连接失败过多的IP地址。这是自我调节的安全性!我们将向您展示如何使用它。提醒:不熟悉Fail2Ban的朋友请跳到文末,查看本文对Fail2Ban的简介。安全、安全、安全!重要的事情说三遍温莎公爵夫人沃...
暴力破解SSH/FTP/SMTP用户密码----fail2ban操作实务
xuyaqun的专栏
11-30 8386
暴力破解SSH/FTP/SMTP用户密码----fail2ban操作实务 在debian下以邮件服务器为例进行说明   一、邮件服务器现状 1、邮件服务器mail.warn 日志中每天大概有9000 次尝试登陆邮件服务器25 端口的失败记 录。如: Nov 29 00:00:01 mailserver  postfix/smtpd[4434]: warning: unknown[
使用Fail2ban进行入侵检测与防护
入侵检测和防护是指通过监控系统或网络中的活动,识别潜在的入侵行为,并采取措施进行预防或应对,以确保系统和数据的安全。入侵行为包括但不限于未经授权的访问、恶意软件攻击、拒绝服务攻击等,对系统造成潜在威胁...
SSH高级安全设置指南:防范暴力破解与会话劫持
[SSH高级安全设置指南:防范暴力破解与会话劫持](https://calistocode.com/wp-content/uploads/2023/03/How-to-Enable-Password-Authentication-in-SSH-1024x576.jpg) # 1. SSH协议基础与安全风险 ## 1.1 SSH协议...
安全干货 |使用fail2ban避免ssh暴力破解
weixin_44433834的博客
06-22 406
作者:云牧青 来源:恒生LIGHT云社区 一、背景 开放到公网的主机无时无刻不在遭受攻击,其中ssh暴力破解频率最高,会有无数机器不分日夜地搜索公网上的猎物,然后进行弱密码尝试 如果你的公网机器恰巧设的弱密码,估计刚装上系统,没过几小时别人就进来动手脚了 当然我们设置的密码如果够强,8位以上混合大小写+数字,是不会被爆破出来的。攻击者为了效率着想,广撒网,一般只会对你进行三四千次尝试,不过攻击的人会比较多,平均下来你每天也会被攻击8000次这样 如何查看自己有没有被攻击呢?看ssh日志即可 cat /v.
使用 Docker 构建 LLaMA-Factory 环境
GDHBFTGGG的博客
10-01 1219
使用 Docker 构建 LLaMA-Factory 环境可以简化依赖安装和环境配置。
(笔记)第三期书生·浦语大模型实战营(十一卷王场)--书生入门岛通关第2关Python 基础知识
最新发布
haidizym的博客
10-02 496
学员闯关手册:https://aicarrier.feishu.cn/wiki/ZcgkwqteZi9s4ZkYr0Gcayg1n1g?课程视频:https://www.bilibili.com/video/BV1mS421X7h4/课程文档:https://github.com/InternLM/Tutorial/tree/camp3/docs/L0/Python。
MySQL - 运维
ltt159264的博客
09-29 323
记录了所有的增删改查语句以及DDL语句
fail2ban ssh
05-06
fail2ban是一个用于防止暴力破解攻击的开源软件。它监视系统日志文件以查找恶意行为,例如在SSH中使用错误的密码或登录失败。如果它检测到多个失败的尝试,它将动态地更新防火墙规则以禁止来自该IP地址的进一步访问。这可以有效地保护您的服务器免受暴力攻击。 对于SSHfail2ban通过使用正则表达式来查找日志文件中的登录尝试和失败,并根据您的配置来设置防火墙规则。通过fail2ban,您可以设置允许几次密码输入失败,以及禁止IP地址的时间长度等。 总之,fail2ban是一个非常有用的工具,可以帮助您保护服务器不受暴力破解攻击的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值