防暴力破解SSH/FTP/SMTP用户密码----fail2ban操作实务
在debian下以邮件服务器为例进行说明
一、邮件服务器现状
1、邮件服务器mail.warn 日志中每天大概有9000 次尝试登陆邮件服务器25 端口的失败记
录。如:
Nov 29 00:00:01 mailserver postfix/smtpd[4434]: warning: unknown[14.145.101.1]: SASL
LOGIN authentication failed: UGFzc3dvcmQ6
2、以上记录虽然只是正常的wanring,服务器也正常,但对服务器的安全造成很大潜在威
胁。
二、解决方法
在不影响正常收发邮件的情况下,采用fail2ban 配合iptables 来动态自动屏蔽恶意用
户ip,来排除暴力登陆的安全隐患。
三、Fail2ban简介
Fail2ban 扫描系统日志文件,例如/var/log/auth or /var/log/apache/error_log 并
从中找出多次尝试登录失败的IP 地址,并将该IP 地址加入防火墙的拒绝访问列表中。
Fail2ban 对于解决暴力破解、非法扫描能起到比较好的效果,它是一个基于防火墙链
添加新规则构成,并发送e-mail 通知系统管理员。Fail2ban 不仅可以使用自动识别可能的
暴力入侵,而且可按照快速且简易的用户自定义规则去分析,因为fail2ban 的原理是调
用iptables 实时阻挡外界的攻击,按照你的要求在一段时间内找出符合条件的日志,然后
动作,所以你的系统里必选装有iptables,以及Python