文档章节

使用Fail2ban阻挡针对公司邮件系统的暴力破解

prpr
 prpr
发布于 2014/01/09 13:02
字数 1249
阅读 2346
收藏 56

公司使用的邮件系统经常被人使用pop暴力尝试破解,由于设置密码时并没有验证密码的复杂度,因此对于攻击者来说想破解那么一些账号真是轻而易举的事情;同时不断被人尝试破解也拖慢了系统速度。

不过还好邮件系统针对登录有日志(还不会烂到连日志都没有的地步吧 = =!),会记录尝试登录者的IP地址,因此利用iptables对可疑IP进行封锁便成为一个似乎可以执行的方案了,但是怎么做呢?搜索之后终于发现了fail2ban这款软件(点32个赞!)。


fail2ban是用python编写的开源软件:http://www.oschina.net/p/fail2ban,项目首页地址:http://www.fail2ban.org,授权协议为GPLv2。

其通过扫描日志文件,利用正则式匹配登录错误的IP地址,然后可以将IP地址列入防火墙中,同时还能给我发送email以提醒我有哪个IP地址被ban了。

嗯,正是我要的!开始安装它吧!

一、系统环境

OS:RHEL 5.6(32位)

Python:2.7.5(自带的2.4应该也可以)

二、安装软件

1. 安装fail2ban

http://www.fail2ban.org/wiki/index.php/Downloads 下载stable版本,然后源码安装:

[root@localhost tmp]# tar xvfj fail2ban-0.8.11.tar.bz2
[root@localhost tmp]# cd fail2ban-0.8.11
[root@localhost fail2ban-0.8.11]# python setup.py install

软件位于/usr/share/,二进制执行脚本位于/usr/bin,配置文件位于/etc/fail2ban。

然后将fail2ban放入开机启动列表里:

[root@localhost fail2ban-0.8.11]# chkconfig -a fail2ban

2. 安装pyinotify

由于邮件日志logrotate,每天凌晨会有一分钟左右不存在日志文件,如果使用默认的idle会导致fail2ban停止工作,因此需要安装pyinotify,该软件地址:http://www.oschina.net/p/pyinotify

https://github.com/seb-m/pyinotify 下载pyinotify,然后源码安装:

[root@localhost tmp]# cd pyinotify
[root@localhost pyinotify]# python setup.py install

3. (可选)安装mailx

由于RHEL 5自带的mailx太老,无法配置自定义的SMTP,因此需要安装最新的mailx程序。这个程序如何安装配置,这里就不赘述了。感兴趣的可以看这篇文章:http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

三、配置

配置前首先来看一下日志文件长什么样:

[root@localhost ~]# cat /var/log/pop_authlog
1381124478 M caohui example.com 0 ip:127.0.0.1 status:1
1381124481 M info example.com 0 ip:89.151.140.52 status:0
1381124482 M zhouqing example.com 0 ip:111.164.210.227 status:1
1381124487 M shell example.com 0 ip:89.151.140.52 status:0
1381124493 M linux example.com 0 ip:89.151.140.52 status:0
1381124495 M zhaoyong1 example.com 0 ip:127.0.0.1 status:1
1381124497 M unix example.com 0 ip:89.151.140.52 status:0
1381124502 M yangjun example.com 0 ip:180.109.216.129 status:1
1381124502 M webadmin example.com 0 ip:89.151.140.52 status:0
1381124508 M test example.com 0 ip:89.151.140.52 status:0
1381124511 M qc example.com 0 ip:180.166.242.30 status:1
1381124513 M admin example.com 0 ip:89.151.140.52 status:0
......

每一行关键数据是:账号,ip地址和状态,状态为1表示成功,状态为0表示失败。观察日志文件我们可以发现,来自89.151.140.52的设备正在不断更换常见账号尝试破解,因此我们需要让fail2ban将此ip用iptables封掉!

进入配置文件目录我们可以看到有这几个文件和目录:

/etc/fail2ban/
├── action.d
│   ├── dummy.conf
│   ├── hostsdeny.conf
│   ├── iptables.conf
│   ├── mail-whois.conf
│   ├── mail.conf
│   └── shorewall.conf
├── fail2ban.conf
├── fail2ban.local
├── filter.d
│   ├── apache-auth.conf
│   ├── apache-noscript.conf
│   ├── couriersmtp.conf
│   ├── postfix.conf
│   ├── proftpd.conf
│   ├── qmail.conf
│   ├── sasl.conf
│   ├── sshd.conf
│   └── vsftpd.conf
├── jail.conf
└── jail.local

每一个.conf文件都对应一个同名的.local文件,软件将先读取.conf文件,再读取对应的.local文件,.local文件会覆盖.conf文件中同名的配置。

1. 创建自定义规则

[root@localhost ~]# vim /etc/fail2ban/jail.local
#模块名称
[pop3-iptables]
#是否启用
enabled = true
#过滤器名称,注意这个名称与下面第二步所创建的过滤器文件名需一致
filter = my-pop3
#针对IP的行为,由于我们这里需要封的是pop3,因此端口是110,协议是tcp;第二行发送提醒信到管理员邮箱
action = iptables[name=pop3, port=110, protcol=tcp]
         mail-whois[name=POP3, dest=plutonji@example.com]
#检查的日志文件路径
logpath = /var/log/pop_authlog
#封禁时间(单位:秒)
bantime = 86400
#多少秒内匹配多少次就执行上面的action,这里是30s内匹配6次
findtime = 30
maxretry = 6

2. 创建过滤器

[root@localhost ~]#vim /etc/fail2ban/filter.d/my-pop3.conf
[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#使用正则表达式匹配到需要封的IP地址,即下面的<HOST>部分
failregex = ^.*ip:<HOST>\sstatus:0$

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

四、启动程序

[root@localhost ~]# service fail2ban start


© 著作权归作者所有

共有 人打赏支持
prpr
粉丝 3
博文 16
码字总数 14978
作品 0
南京
系统管理员
加载中

评论(13)

prpr
prpr

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗

mailx安装好以后,如果没有改默认的命令的话,得把路径敲全了。这种情况下去/etc/fail2ban/action.d/下找到mail-whois.conf,复制一份重命名为mail-whois.local,修改文件中的命令:把mail改为/usr/local/src/mailx-12.4/mailx,三个地方都要改。

actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban"|/usr/local/src/mailx-12.4/mailx -s "[Fail2Ban] <name>: started" <dest>

mailx设置了客户端通过外网smtp是可以发的,有个问题很奇怪,有个邮件地址没有在本机设置了客户端用户密码就能发送到目的邮箱地址,这个咋回事。。。
很多邮件客户端在不设置外网SMTP的情况下,会使用系统的sendmail邮件服务器(对于RHEL6则使用postfix)发送,你会发现发件人是你的机器名字
n
newban

引用来自“PlutonJi”的评论

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗

mailx安装好以后,如果没有改默认的命令的话,得把路径敲全了。这种情况下去/etc/fail2ban/action.d/下找到mail-whois.conf,复制一份重命名为mail-whois.local,修改文件中的命令:把mail改为/usr/local/src/mailx-12.4/mailx,三个地方都要改。

actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban"|/usr/local/src/mailx-12.4/mailx -s "[Fail2Ban] <name>: started" <dest>

mailx设置了客户端通过外网smtp是可以发的,有个问题很奇怪,有个邮件地址没有在本机设置了客户端用户密码就能发送到目的邮箱地址,这个咋回事。。。
n
newban

引用来自“PlutonJi”的评论

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗

mailx安装好以后,如果没有改默认的命令的话,得把路径敲全了。这种情况下去/etc/fail2ban/action.d/下找到mail-whois.conf,复制一份重命名为mail-whois.local,修改文件中的命令:把mail改为/usr/local/src/mailx-12.4/mailx,三个地方都要改。

actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban"|/usr/local/src/mailx-12.4/mailx -s "[Fail2Ban] <name>: started" <dest>

貌似不行,这个邮件如过不设置账号密码,他怎么通过服务器验证发信件了。。。
prpr
prpr

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗

mailx安装好以后,如果没有改默认的命令的话,得把路径敲全了。这种情况下去/etc/fail2ban/action.d/下找到mail-whois.conf,复制一份重命名为mail-whois.local,修改文件中的命令:把mail改为/usr/local/src/mailx-12.4/mailx,三个地方都要改。

actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban"|/usr/local/src/mailx-12.4/mailx -s "[Fail2Ban] <name>: started" <dest>
n
newban

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗
prpr
prpr

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html
n
newban
mailx怎么没讲怎么配置,发送。。。1
车开源
车开源
貌似我也正好需要
prpr
prpr

引用来自“BugTermina”的评论

楼主管理公司服务器,公司允许你随便装?

有备机做测试,把日志放进去看是否生效,ok就在正式机上搞。
BugScanner
BugScanner
楼主管理公司服务器,公司允许你随便装?
使用 fail2ban 防御 SSH 服务器的暴力破解

对于SSH服务的常见的攻击就是暴力破解攻击——远程攻击者通过不同的密码来无限次地进行登录尝试。当然SSH可以设置使用非密码验证验证方式来对抗这种攻击,例如公钥验证或者双重验证。将不同的...

linux-tao
2017/11/15
0
0
Linux 王子 带你完成 Linux SSHD服务“gong fang”实战

重要声明: 本文以研究角度去说明SSHD服务的“gong ji”和防护原理,也不会提供文中所提到的“gong ji”工具(因为会被和谐掉哦!没办法^_^),请读者不要用违法用途,本人对于读者用户违法行...

xruan
06/21
0
0
linux系统安全

方法一: 密码足够复杂 密码的长度要大于8位,最好大于14位。密码的复杂度是密码要尽可能有数字、大小写字符和特殊字符混合组成。 修改默认ssh端口 使用iptables关闭不需要使用的端口 sshd 默...

xucaibao1979
2017/06/30
0
0
安装配置fail2ban防止暴力破解

何为fail2ban fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你...

DragonFK
2013/02/20
0
0
fail2ban防暴力破解-ssh防爆力登录

介绍 fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙iptables屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你...

RedbullMT
2016/06/10
181
0

没有更多内容

加载失败,请刷新页面

加载更多

《Netkiller Java 手札》· 二进制文件操作大全

本文节选自《Netkiller Java 手札》 Netkiller Java 手札 Mr. Neo Chan, 陈景峯(BG7NYT) 中国广东省深圳市望海路半岛城邦三期 518067 +86 13113668890 <netkiller@msn.com> $Id: book.xml 6......

netkiller-
12分钟前
0
0
Fiddler Debugger post请求

常用的两种: 第一种默认的 对应URL为www 的要用请求头为:Content-Type: application/x-www-form-urlencoded 请求参数为 :param1=1234¶m2=12345 注:有些接口是指定用这种的第二方式并不...

轻量级赤影
19分钟前
1
0
如何搭建母婴亲子类知识社区

近期社交领域融资动作频繁,海尔高管、海尔医疗有限公司总裁管礼庆创办的母婴知识分享社区平台Alwayslove于上月获得700万天使轮融资。 Alwayslove是一个母婴知识分享社区平台,采用UGC模式,...

ThinkSNS账号
21分钟前
0
0
Android 自定义构建类型 BuildType

最近接触到自定义构建类型 BuildType,发现这一块有些地方稍不注意的话会被绕进去浪费点时间,既然我这边已经花费时间了,如果正好你也需要接触到 BuildType,也许接下来分享的 tips 可能会帮...

猴亮屏
22分钟前
1
0
美团点评基于 Flink 的实时数仓建设实践

引言 近些年,企业对数据服务实时化服务的需求日益增多。本文整理了常见实时数据组件的性能特点和适用场景,介绍了美团如何通过 Flink 引擎构建实时数据仓库,从而提供高效、稳健的实时数据服...

美团技术团队
25分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部