暴露给互联网的所有服务器都有遭受恶意软件攻击的风险。例如,如果您有连接到互联网的软件,则攻击者可以利用蛮力尝试来访问应用程序。
Fail2ban是一个开源工具,可以通过监视服务日志中的恶意活动来帮助你保护Linux免受暴力攻击和其他自动攻击。
它使用正则表达式来扫描日志文件。将对所有与模式匹配的记录进行计数,并且当它们的数量达到某个预定义的阈值时。
Fail2ban会在指定时间段内禁止有问题的IP。默认使用系统防火墙阻止该IP的访问。 禁止期限到期后,IP地址将从禁止列表中删除。
Fail2ban包含在默认的Debian 10存储库中。要安装它,请以具有sudo权限的用户运行apt命令sudo apt update && sudo apt install fail2ban
。
安装完成后,Fail2ban服务将自动启动。 您可以运行命令sudo systemctl status fail2ban
检查Fail2ban服务状态。至此,您已在Debian 10服务器安装Fail2Ban。
sudo apt update
sudo apt install fail2ban
sudo systemctl status fail2ban
● fail2ban.service - Fail2Ban Service
Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
Active: active (running) since Wed 2020-08-19 06:16:29 UTC; 27s ago
Docs: man:fail2ban(1)
Main PID: 1251 (f2b/server)
Tasks: 5 (limit: 1079)
Memory: 13.8M
CGroup: /system.slice/fail2ban.service
└─1251 /usr/bin/python3 /usr/bin/fail2ban-server -xf start
Fail2ban配置
Fail2ban在安装时会创建两个默认的配置文件/etc/fail2ban/jail.d/defaults-debian.conf
和/etc/fail2ban/jail.conf
。
我们不建议直接修改这些文件,因为更新Fail2ban时它们可能会被覆盖。
Fail2ban将按以下顺序读取配置文件。每个.local
文件都会覆盖.conf
文件中的设置。/etc/fail2ban/jail.conf
,/etc/fail2ban/jail.d/*.conf
。/etc/fail2ban/jail.local
,/etc/fail2ban/jail.d/*.local
。
配置Fail2ban的最简单方法是将复制jail.conf为jail.local,然后修改.local
文件。你也可以从头开始构建.local
配置文件。
.local
文件不必包含.conf
文件中的所有设置,只需包含您要覆盖的设置即可。运行cp命令。从默认的jail.conf
文件创建一个.local
配置文件。
要开始配置Fail2ban服务器,请使用你喜欢的文本编辑器打开jail.local
文件,在本教程我们将使用vim打开文件。
该文件包含了说明每个配置选项的注释。在此示例中,我们将更改基本的设置。
sudo cp /etc/fail2ban/jail.{conf,local}
sudo vim /etc/fail2ban/jail.local
白名单
白名单,顾名思义就是不会从这些IP检测是否是恶意的访问。如需你要创建白名单,可以将IP地址或者IP范围添加到ignoreip
指令中。
在这里,您应该添加您的本地计算机IP地址以及您要列入白名单的所有计算机。取消以ignoreip
开头的行注释,并添加您的IP地址,以空格分隔。
设置禁止时间与重试次数
bantime
,findtime
和maxretry
选项的值定义了禁止时间和禁止条件。bantime
是禁止持续的时间。findtime
是设置失败次数之间的持续时间。
如果未指定后缀,则默认为秒。默认情况下,bantime
值设置为10分钟。
通常,大多数用户都希望设置更长的禁止时间。你也可以根据您的喜好更改值bantime
的值。
如果将Fail2ban设置为在尝试五次失败后禁止IP,请参见下文maxretry。则这些失败必须在findtime时间内发生,即10分钟完成5次失败的尝试。
maxretry是允许IP失败尝试次数。默认值设置为5,对于大多数用户来说应该够用。
电子邮件通知
Fail2ban可以在IP被禁止时发送电子邮件警报。要接收电子邮件,您需要在服务器上安装SMTP并更改默认的action。
默认的action操作仅将IP禁止为%(action_mw)s
。%(action_mw)s
将禁止有问题的IP,并发送包含Whois报告的电子邮件。
如果要在电子邮件中包含相关日志,请将action设置为%(action_mwl)s
。您还可以调整发送和接收电子邮件地址。
Fail2ban Jail
Fail2ban使用Jail的概念,jail直接翻译就是囚牢。Jail描述如何检测服务的条件。其中服务是系统的任意服务,比如sshd
服务,Vsftpd服务等。
条件包含过滤器和操作。计算符合搜索模式的日志记录,并在满足预定条件时执行相应的操作。
Fail2ban附带许多Jail作为示例,系统每一项服务都可以找到对应Jail配置。您还可以创建自己的Jail配置。
默认情况下,在CentOS 8上没有启用Jail。要启用Jail,您需要在添加enabled = true
。 以下示例显示如何为sshd
服务启用Jail。
每次修改配置文件时,都必须重新启动Fail2ban服务,运行命令sudo systemctl restart fail2ban
以使更改生效。
sudo systemctl restart fail2ban
Fail2ban客户端
Fail2ban附带了一个名为fail2ban-client
的命令行工具,可用于与Fail2ban服务进行交互。
要查看fail2ban-client
命令的所有可用选项,请运行命令fail2ban-client -h
。
此工具可用于禁止/取消已被禁止的IP地址,更改设置,重新启动服务等等。 以下是一些示例。
Fail2ban sshd服务的状态
sudo fail2ban-client status sshd
删除已被限制IP
sudo fail2ban-client set sshd unbanip 23.34.45.56
禁止已被限制的IP
sudo fail2ban-client set sshd banip 23.34.45.56
结论
我们向您展示了如何在Debian 10安装和配置Fail2ban。有关此主题的更多信息,请访问Fail2ban文档。如果您有任何疑问,请随时在下面发表评论。