Fail2ban安装与配置

  • A+
所属分类:网站建设

上篇Nginx日志中漏洞扫描应对方法我们写到Fail2ban加 iptables自动封ip本篇说一说Fail2ban的安装与配置
一、fail2ban工作原理
fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作,一般情况下是调用防火墙屏蔽如iptables,如:当有人在试探你的SSH、SMTP、FTP密码Http目录枚举等,只要达到你预设的次数,fail2ban就会调用防火墙将其IPdrop掉,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的软件!
软件主页:http://www.fail2ban.org/wiki/index.php/Main_Page
二、fail2ban版本
目前fail2ban稳定版为fail2ban-0.9.4,开发版为fail2ban-0.10.x
三、fail2ban安装
两种安装方法:
1、使用apt进行安装,简单方便,但是安装的有可能不是最近版本或者稳定版本。

  1. apt-get -y install fail2ban

2、下载安装被进行安装
下载地址:https://github.com/fail2ban/fail2ban/archive/0.9.4.tar.gz

  1. cd /usr/loca/src
  2. wget https://github.com/fail2ban/fail2ban/archive/0.9.4.tar.gz
  3. tar -zxf 0.9.4.tar.gz
  4. cd fail2ban-094
  5. python setup.py install

Debian上,默认的Fail2ban配置文件存储在/etc/fail2ban/jail.conf文件和/etc/fail2ban/jail.d/defaults-debian.conf文件中。请注意,后一个文件中的设置将覆盖前一个文件中的相应设置。
使用以下命令查看更多信息:

  1. cat /etc/fail2ban/jail.conf | less
  2. cat /etc/fail2ban/jail.d/defaults-debian.conf
  3. fail2ban-client status
  4. fail2ban-client status sshd

编辑配置文件

  1. nano /etc/fail2ban/jail.conf  

默认区段如下:

  1. [DEFAULT]  
  2. ignoreip = 127.0.0.1/8 #IP白名单  
  3. bantime = 600 #封禁时间秒,默认是10分钟  
  4. maxretry = 3 #最大重试次数,子项未设置时以此为准  

SSH 区段如下:
[ssh]

  1. [ssh]  
  2. enabled = true #启用开关  
  3. port = ssh #保护端口,默认SSH为22  
  4. filter = sshd #默认即可  
  5. logpath = /var/log/auth.log #日志位置,默认即可  
  6. maxretry = 6 #最大重试次数  

修改配置之后需要重启服务:

  1. /etc/init.d/fail2ban restart  
  2. #或者用  
  3. service fail2ban restart  

另外可以通过以下命令查看启用的保护项:

  1. fail2ban-client status  

需要查看 ssh 封禁情况可以运行:

  1. fail2ban-client status ssh  

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: