每个 IT 运营团队的首要任务是确保服务器安全,不受未经授权的用户或恶意脚本的侵害。您可以应用许多解决方案来抵御攻击和破坏,其中就包括 Fail2ban 软件方案。
Fail2ban 是一种开源的入侵检测措施,可以减轻针对各种服务(例如 SSH 和 VSFTPD)的暴力攻击。它提供了包括 SSH 在内的一系列过滤器,您可以自定义这些过滤器来更新防火墙规则,并阻止未经授权的 SSH 登录尝试。
fail2ban 监控服务器日志文件,监测其中的任何入侵尝试,并在预定义次数的失败尝试后,在指定的持续时间内阻止用户的IP地址。用户的 IP 被放置在一个 jail 中,可以在 /etc/fail2ban/jail.conf 配置文件中设置、启用或禁用该 jail。它有助于保护您的 Linux 服务器免受未经授权的访问,更具体地说,免受僵尸网络和恶意脚本的访问。
jail 由以下几个关键要素组成:
- 要分析的日志文件
- 要应用在日志文件上的过滤器
- 当过滤器匹配时要采取的操作
- 用于详细说明匹配类型的其他参数,例如:maxtry (最大尝试) 和 bantime (禁止时间) 等。
在本教程中,我们将引导您在RHEL 8 / CentOS 8 上安装和配置 Fail2ban。
(1) 安装 EPEL 存储库
按如下方式安装 EPEL (Extra Package for Enterprise Linux) 包
For CentOS 8
$ sudo dnf install -y epel-release
For RHEL 8
$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm -y
(2) 安装 Fail2ban
要安装 Fail2ban,请运行下面的命令
$ sudo dnf install -y fail2ban
(3) 配置 Fail2ban
按照设计,fail2ban 将解析日志文件,并尝试匹配过滤器中指定的 failregex。过滤器会挑选出特定服务失败的身份验证尝试,例如,使用正则表达式 regex 匹配出 SSH 登录尝试。当日志条目中的最大次数达到最大值时,将触发一个动作。
默认情况下,发生3次身份验证失败后,用户将被禁止或被关进“jail”10分钟。这些参数可以很容易地在 /etc/fail2ban/jail.conf 文件中配置,该文件是全局配置文件。
所有重要的配置文件都位于/etc/fail2ban/目录下。
过滤器存放在 /etc/fail2ban/filter.d 目录下。有几十种过滤器用于各种服务,包括SSH、Webmin、postfix 等等。
/etc/fail2ban/jail.conf 是主配置文件。不建议直接修改此文件,配置很可能会在以后的分发更新中被覆盖或改进。
[
解决方法是在 /etc/fail2ban/jail.d 目录中创建一个监狱.local文件,并为要保护的所需服务添加自定义配置。
出于演示目的,我们将创建一个用于保护 SSH 连接的 jail 文件。
$ sudo vim /etc/fail2ban/jail.local
下面是示例配置文件内容:
[DEFAULT]
ignoreip = 192.168.2.105
bantime = 86400
findtime = 300
maxretry = 3
banaction = iptables-multiport
backend = systemd
[sshd]
enabled = true
让我们分解这些参数,看看它们代表什么。
- ignoreip – 定义不禁止的 IP 地址或域名列表
- bantime – 顾名思义,这指定以秒为单位禁止远程主机的持续时间
- maxretry – 这是主机被阻止/禁止之前失败的登录尝试次数
- findtime – maxtry 尝试后主机将被阻塞的持续时间(秒)
- banaction –禁止的动作
- backend – 用于获取日志文件的系统
我们的配置包含以下内容:
当一个 IP 地址在最近 5 分钟内有 3 次认证失败的记录时,该 IP 地址将被禁止 24 小时 (IP为192.168.2.105 的主机除外)
保存并退出配置文件。
(4) 开启 Fail2ban
配置好 SSH 的 jail 文件后,我们将启动并在系统启动时启用 fail2ban。
$ sudo systemctl start fail2ban
$ sudo systemctl enable fail2ban
要确认 fail2ban 的状态,执行下面的命令
$ sudo systemctl status fail2ban
我们可以观察到 fail2ban 按预期运行
现在我们继续,看看 Fail2ban 是如何工作的。
(4) Fail2ban 实战演练
现在让我们更进一步,看看 Fail2ban 的实战演练。为了监视被禁止的 IP 地址,fail2ban-client 实用程序派上了用场。例如,要获取 ssh jail 的状态,可以使用该命令
$ sudo fail2ban-client status sshd
目前,还没有禁止的 IP 条目,因为我们还没有远程登录到服务器。
我们将使用 putty SSH 客户端从一台 Windows PC 上登录,IP 与 jail.local 中指定的 IP 不同。
从输出中,我们可以清楚地看到我们无法访问服务器。当我们再次检查状态时,我们发现一个 IP 已经被禁止,如图所示。
如果需要将 IP 从禁用列表中删除,请执行以下操作解除禁用。
$ sudo fail2ban-client unban 192.168.2.101
要查看关于 fail2ban 规则和策略的更多信息,请访问 jail.conf 手册页
$ man jail.conf
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。