文档章节

Fail2ban 原理 安装 使用

wild-life
 wild-life
发布于 2015/05/22 14:59
字数 1120
阅读 2294
收藏 3

一、原理

原理的话可以查看百度和fail2ban的主页,这里需要说明一点,第一次运行fail2ban,它会将之前的日志都分析一次,如果是大量的web日志,你的设置不会立即生效,只有当分析到了你启动那个时间点才会有效果,同时查看debug日志你会发现大量的“ Ignore line since time 1432137724 < 1432196463.42 - 30”,别担心这些。


二、安装

支持平台较多,这里以redhat/centos为例

方式一

添加epel源,以yum安装 https://fedoraproject.org/wiki/EPEL/zh-cn epel主页

rpm -ivh http://mirror.pnl.gov/epel/6/i386/epel-release-6-8.noarch.rpm
yum -y install fail2ban

其中

/etc/fail2ban/ 为配置文件目录;

/usr/share/fail2ban/ 为项目文件里面包含了整应用的python代码;

/etc/init.d/fail2ban 为启动脚本

方式二

源码安装

你可以直接clone最新的代码或者下载最新代码

git clone https://github.com/fail2ban/fail2ban.git

or

wget "https://github.com/fail2ban/fail2ban/archive/master.zip";unzip master.zip

然后

cd fail2ban
python setup.py install

/etc/fail2ban/ 为配置文件目录;

/usr/lib/pythonx.x/site-packages/fail2ban-0.9.2.dev-py2.6.egg/fail2ban 项目文件,依赖你的python版本

启动脚本:复制源码路径files下相应的操作系统的启动脚本到/etc/init.d/下即可

cp files/redhat-initd /etc/init.d/fail2ban

安装过程结束


三、配置

rpm包安装方式和源码包安装方式的配置方法不同,官方在0.9或更高的版本将jail.conf文件拆分成,jail.conf文件和jail.d目录 这一点通过对比配置文件的目录结构便可以发现,

#rpm安装

ll /etc/fail2ban/

total 32
drwxr-xr-x 2 root root  4096 May 22 14:01 action.d
-rw-r--r-- 1 root root  1510 Aug 20  2014 fail2ban.conf
drwxr-xr-x 2 root root  4096 May 22 14:01 filter.d
-rw-r--r-- 1 root root 19313 Aug 20  2014 jail.conf

其中fail2ban.conf为fail2ban的主配置文件

grep -v ^# fail2ban.conf |grep -v ^$

[Definition]
loglevel = 3
logtarget = SYSLOG
socket = /var/run/fail2ban/fail2ban.sock
pidfile = /var/run/fail2ban/fail2ban.pid

各个参数在配置文件中均有详细说明,jail.conf为定义的需要处理的的动作是否生效,指定需要分析的logpath等等

这里我们直接追加下面的内容

[nginx-get-cc]
#是否开启防护
enabled = true
#使用的是哪个filter文件  filter.d/nginx-get-cc.conf
filter = nginx-get-cc
#执行的操作,更多操作查看配置文件。
action = iptables-multiport[name=cc-attrack, port="http", protocol=tcp]
#日志路径 
logpath = /var/log/nginx/*error.log   
#时间范围
findtime = 60
#添加到防火墙后多久失效
bantime = 7200
#最大重试次数
maxretry = 1000

然后添加filter文件

vim filter.d/nginx-get-cc.conf

# Fail2Ban configuration file
#
#
[Definition]

# Option: failregex
# Note: This regex will match any GET entry in your logs, so basically all valid and not valid entries are a match.
# You should set up in the jail.conf file, the maxretry and findtime carefully in order to avoid false positives.

failregex =  ^<HOST> - .*GET

# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

然后启动

/etc/init.d/fail2ban start

然后使用ab或者webbench工具

ab -n 10000 -c 1000 http://192.168.0.208/

然后观察防火墙状态

iptables-save

-A f2b-cc-attrack -s 192.168.0.213/32 -j REJECT --reject-with icmp-port-unreachable

#源码包安装

ll

total 60
drwxr-xr-x 2 root root  4096 May 20 12:44 action.d
-rw-r--r-- 1 root root  2329 May 21 06:19 fail2ban.conf
drwxr-xr-x 2 root root  4096 May 20 12:44 fail2ban.d
drwxr-xr-x 3 root root  4096 May 21 02:37 filter.d
-rw-r--r-- 1 root root 17755 May 20 12:44 jail.conf
drwxr-xr-x 2 root root  4096 May 21 02:36 jail.d
-rw-r--r-- 1 root root  1889 May 20 12:44 paths-common.conf
-rw-r--r-- 1 root root   645 May 20 12:44 paths-debian.conf
-rw-r--r-- 1 root root   689 May 20 12:44 paths-fedora.conf
-rw-r--r-- 1 root root  1174 May 20 12:44 paths-freebsd.conf
-rw-r--r-- 1 root root   290 May 20 12:44 paths-osx.conf

和yum安装配置唯一的区别在于 jail.conf会自动引用jail.d下以.conf结尾的配置文件,这里我们直接添加一个nginx-get-cc.conf 同时添加内容

vim nginx-get-cc.conf

[nginx-get-cc]
\#是否开启防护
enabled = true
\#使用的是哪个filter文件  filter.d/nginx-get-cc.conf
filter = nginx-get-cc
\#执行的操作,更多操作查看配置文件。
action = iptables-multiport[name=cc-attrack, port="http", protocol=tcp]
\#日志路径 
logpath = /var/log/nginx/*error.log   
\#时间范围
findtime = 60
\#添加到防火墙后多久失效
bantime = 7200
\#最大重试次数
maxretry = 1000

然后添加filter文件,在启动fail2ban然后使用ab工具测试。


© 著作权归作者所有

共有 人打赏支持
wild-life
粉丝 17
博文 94
码字总数 56147
作品 0
成都
技术主管
linux系统安全

方法一: 密码足够复杂 密码的长度要大于8位,最好大于14位。密码的复杂度是密码要尽可能有数字、大小写字符和特殊字符混合组成。 修改默认ssh端口 使用iptables关闭不需要使用的端口 sshd 默...

xucaibao1979
2017/06/30
0
0
Linux 系统安全 -- 防暴力破解

fail2ban防止暴力破解 1. 下载stable稳定版解压缩1 2. 编译安装1 3. 拷贝启动脚本1 4. 修改配置文件1 5. 启动fail2ban2 6. 测试,ssh连接,连续输入3次密码2 7. 此时在查看服务端的防火墙和f...

雨后的春笋
2017/02/24
0
0
Linux 王子 带你完成 Linux SSHD服务“gong fang”实战

重要声明: 本文以研究角度去说明SSHD服务的“gong ji”和防护原理,也不会提供文中所提到的“gong ji”工具(因为会被和谐掉哦!没办法^_^),请读者不要用违法用途,本人对于读者用户违法行...

xruan
06/21
0
0
fail2ban-防止用户暴力破解ssh工具

关于fail2ban: fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员,很好、很实用、很强大!...

weilovepan520
2017/09/30
0
0
web服务器防止dos拒绝服务攻击

服务器安全防护是非常重要的滴,mysql 3306 ,ftp 21 20 ,ssh 22端口等等都可以直接用iptables设置访问的权限,centos系统可以在etc/sysconfig/iptables中加入类似的语句。 -A INPUT -s 19...

落叶刀
2015/10/14
215
0

没有更多内容

加载失败,请刷新页面

加载更多

Java动态代理之InvocationHandler最简单的入门教程

网上关于Java的动态代理,Proxy和InvocationHandler这些概念有讲解得非常高深的文章。其实这些概念没有那么复杂。现在咱们通过一个最简单的例子认识什么是InvocationHandler。值得一提的是,...

JerryWang_SAP
29分钟前
0
0
oracle 在 MyBatis 中使用 like

两种使用方法 使用oracle自带 || 拼凑的方式 <if test="userName!=null and userName!=''"> AND u.USER_NAME like '%' || #{userName} || '%' </if> 使用MyBatis的$符号的方式 <if test="us......

karma123
35分钟前
1
0
带接口的webservice方式发布

package cn.it.ws.e;import javax.jws.WebService;/** * 面向接口的webservice发布方式 * @author Administrator * */@WebServicepublic interface JobService {publi...

江戸川
50分钟前
2
0
day122-20181020-英语流利阅读-待学习

蜘蛛侠新片《毒液》来袭!导演灵感来自哪? Roxy 2018-10-20 1.今日导读 你还记得漫威宇宙中飞檐走壁的蜘蛛侠小可爱吗?在刚过去的国庆黄金周里,索尼影业发行的漫威超级英雄蜘蛛侠系列大片《...

飞鱼说编程
今天
4
0
美团点评Docker容器管理平台

美团点评容器平台简介 本文介绍美团点评的Docker容器集群管理平台(以下简称“容器平台”)。该平台始于2015年,是基于美团云的基础架构和组件而开发的Docker容器集群管理平台。目前该平台为...

Skqing
今天
7
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部