防暴力破解SSH/FTP/SMTP用户密码----fail2ban操作实务

 防暴力破解SSH/FTP/SMTP用户密码----fail2ban操作实务

在debian下以邮件服务器为例进行说明

 

一、邮件服务器现状
1、邮件服务器mail.warn 日志中每天大概有9000 次尝试登陆邮件服务器25 端口的失败记
录。如：
Nov 29 00:00:01 mailserver  postfix/smtpd[4434]: warning: unknown[14.145.101.1]: SASL
LOGIN authentication failed: UGFzc3dvcmQ6
2、以上记录虽然只是正常的wanring，服务器也正常，但对服务器的安全造成很大潜在威
胁。

二、解决方法
在不影响正常收发邮件的情况下，采用fail2ban 配合iptables 来动态自动屏蔽恶意用
户ip，来排除暴力登陆的安全隐患。

三、Fail2ban简介
Fail2ban 扫描系统日志文件，例如/var/log/auth or /var/log/apache/error_log 并
从中找出多次尝试登录失败的IP 地址，并将该IP 地址加入防火墙的拒绝访问列表中。
Fail2ban 对于解决暴力破解、非法扫描能起到比较好的效果，它是一个基于防火墙链
添加新规则构成，并发送e-mail 通知系统管理员。Fail2ban 不仅可以使用自动识别可能的
暴力入侵，而且可按照快速且简易的用户自定义规则去分析，因为fail2ban 的原理是调
用iptables 实时阻挡外界的攻击，按照你的要求在一段时间内找出符合条件的日志，然后
动作，所以你的系统里必选装有iptables，以及Python