文档章节

使用Fail2ban阻挡针对公司邮件系统的暴力破解

prpr
 prpr
发布于 2014/01/09 13:02
字数 1249
阅读 2573
收藏 56

公司使用的邮件系统经常被人使用pop暴力尝试破解,由于设置密码时并没有验证密码的复杂度,因此对于攻击者来说想破解那么一些账号真是轻而易举的事情;同时不断被人尝试破解也拖慢了系统速度。

不过还好邮件系统针对登录有日志(还不会烂到连日志都没有的地步吧 = =!),会记录尝试登录者的IP地址,因此利用iptables对可疑IP进行封锁便成为一个似乎可以执行的方案了,但是怎么做呢?搜索之后终于发现了fail2ban这款软件(点32个赞!)。


fail2ban是用python编写的开源软件:http://www.oschina.net/p/fail2ban,项目首页地址:http://www.fail2ban.org,授权协议为GPLv2。

其通过扫描日志文件,利用正则式匹配登录错误的IP地址,然后可以将IP地址列入防火墙中,同时还能给我发送email以提醒我有哪个IP地址被ban了。

嗯,正是我要的!开始安装它吧!

一、系统环境

OS:RHEL 5.6(32位)

Python:2.7.5(自带的2.4应该也可以)

二、安装软件

1. 安装fail2ban

http://www.fail2ban.org/wiki/index.php/Downloads 下载stable版本,然后源码安装:

[root@localhost tmp]# tar xvfj fail2ban-0.8.11.tar.bz2
[root@localhost tmp]# cd fail2ban-0.8.11
[root@localhost fail2ban-0.8.11]# python setup.py install

软件位于/usr/share/,二进制执行脚本位于/usr/bin,配置文件位于/etc/fail2ban。

然后将fail2ban放入开机启动列表里:

[root@localhost fail2ban-0.8.11]# chkconfig -a fail2ban

2. 安装pyinotify

由于邮件日志logrotate,每天凌晨会有一分钟左右不存在日志文件,如果使用默认的idle会导致fail2ban停止工作,因此需要安装pyinotify,该软件地址:http://www.oschina.net/p/pyinotify

https://github.com/seb-m/pyinotify 下载pyinotify,然后源码安装:

[root@localhost tmp]# cd pyinotify
[root@localhost pyinotify]# python setup.py install

3. (可选)安装mailx

由于RHEL 5自带的mailx太老,无法配置自定义的SMTP,因此需要安装最新的mailx程序。这个程序如何安装配置,这里就不赘述了。感兴趣的可以看这篇文章:http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

三、配置

配置前首先来看一下日志文件长什么样:

[root@localhost ~]# cat /var/log/pop_authlog
1381124478 M caohui example.com 0 ip:127.0.0.1 status:1
1381124481 M info example.com 0 ip:89.151.140.52 status:0
1381124482 M zhouqing example.com 0 ip:111.164.210.227 status:1
1381124487 M shell example.com 0 ip:89.151.140.52 status:0
1381124493 M linux example.com 0 ip:89.151.140.52 status:0
1381124495 M zhaoyong1 example.com 0 ip:127.0.0.1 status:1
1381124497 M unix example.com 0 ip:89.151.140.52 status:0
1381124502 M yangjun example.com 0 ip:180.109.216.129 status:1
1381124502 M webadmin example.com 0 ip:89.151.140.52 status:0
1381124508 M test example.com 0 ip:89.151.140.52 status:0
1381124511 M qc example.com 0 ip:180.166.242.30 status:1
1381124513 M admin example.com 0 ip:89.151.140.52 status:0
......

每一行关键数据是:账号,ip地址和状态,状态为1表示成功,状态为0表示失败。观察日志文件我们可以发现,来自89.151.140.52的设备正在不断更换常见账号尝试破解,因此我们需要让fail2ban将此ip用iptables封掉!

进入配置文件目录我们可以看到有这几个文件和目录:

/etc/fail2ban/
├── action.d
│   ├── dummy.conf
│   ├── hostsdeny.conf
│   ├── iptables.conf
│   ├── mail-whois.conf
│   ├── mail.conf
│   └── shorewall.conf
├── fail2ban.conf
├── fail2ban.local
├── filter.d
│   ├── apache-auth.conf
│   ├── apache-noscript.conf
│   ├── couriersmtp.conf
│   ├── postfix.conf
│   ├── proftpd.conf
│   ├── qmail.conf
│   ├── sasl.conf
│   ├── sshd.conf
│   └── vsftpd.conf
├── jail.conf
└── jail.local

每一个.conf文件都对应一个同名的.local文件,软件将先读取.conf文件,再读取对应的.local文件,.local文件会覆盖.conf文件中同名的配置。

1. 创建自定义规则

[root@localhost ~]# vim /etc/fail2ban/jail.local
#模块名称
[pop3-iptables]
#是否启用
enabled = true
#过滤器名称,注意这个名称与下面第二步所创建的过滤器文件名需一致
filter = my-pop3
#针对IP的行为,由于我们这里需要封的是pop3,因此端口是110,协议是tcp;第二行发送提醒信到管理员邮箱
action = iptables[name=pop3, port=110, protcol=tcp]
         mail-whois[name=POP3, dest=plutonji@example.com]
#检查的日志文件路径
logpath = /var/log/pop_authlog
#封禁时间(单位:秒)
bantime = 86400
#多少秒内匹配多少次就执行上面的action,这里是30s内匹配6次
findtime = 30
maxretry = 6

2. 创建过滤器

[root@localhost ~]#vim /etc/fail2ban/filter.d/my-pop3.conf
[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#使用正则表达式匹配到需要封的IP地址,即下面的<HOST>部分
failregex = ^.*ip:<HOST>\sstatus:0$

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

四、启动程序

[root@localhost ~]# service fail2ban start


© 著作权归作者所有

prpr
粉丝 4
博文 17
码字总数 20237
作品 0
南京
系统管理员
私信 提问
加载中

评论(13)

prpr
prpr 博主

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗

mailx安装好以后,如果没有改默认的命令的话,得把路径敲全了。这种情况下去/etc/fail2ban/action.d/下找到mail-whois.conf,复制一份重命名为mail-whois.local,修改文件中的命令:把mail改为/usr/local/src/mailx-12.4/mailx,三个地方都要改。

actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban"|/usr/local/src/mailx-12.4/mailx -s "[Fail2Ban] <name>: started" <dest>

mailx设置了客户端通过外网smtp是可以发的,有个问题很奇怪,有个邮件地址没有在本机设置了客户端用户密码就能发送到目的邮箱地址,这个咋回事。。。
很多邮件客户端在不设置外网SMTP的情况下,会使用系统的sendmail邮件服务器(对于RHEL6则使用postfix)发送,你会发现发件人是你的机器名字
n
newban

引用来自“PlutonJi”的评论

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗

mailx安装好以后,如果没有改默认的命令的话,得把路径敲全了。这种情况下去/etc/fail2ban/action.d/下找到mail-whois.conf,复制一份重命名为mail-whois.local,修改文件中的命令:把mail改为/usr/local/src/mailx-12.4/mailx,三个地方都要改。

actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban"|/usr/local/src/mailx-12.4/mailx -s "[Fail2Ban] <name>: started" <dest>

mailx设置了客户端通过外网smtp是可以发的,有个问题很奇怪,有个邮件地址没有在本机设置了客户端用户密码就能发送到目的邮箱地址,这个咋回事。。。
n
newban

引用来自“PlutonJi”的评论

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗

mailx安装好以后,如果没有改默认的命令的话,得把路径敲全了。这种情况下去/etc/fail2ban/action.d/下找到mail-whois.conf,复制一份重命名为mail-whois.local,修改文件中的命令:把mail改为/usr/local/src/mailx-12.4/mailx,三个地方都要改。

actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban"|/usr/local/src/mailx-12.4/mailx -s "[Fail2Ban] <name>: started" <dest>

貌似不行,这个邮件如过不设置账号密码,他怎么通过服务器验证发信件了。。。
prpr
prpr 博主

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗

mailx安装好以后,如果没有改默认的命令的话,得把路径敲全了。这种情况下去/etc/fail2ban/action.d/下找到mail-whois.conf,复制一份重命名为mail-whois.local,修改文件中的命令:把mail改为/usr/local/src/mailx-12.4/mailx,三个地方都要改。

actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban"|/usr/local/src/mailx-12.4/mailx -s "[Fail2Ban] <name>: started" <dest>
n
newban

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗
prpr
prpr 博主

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html
n
newban
mailx怎么没讲怎么配置,发送。。。1
车开源
车开源
貌似我也正好需要
prpr
prpr 博主

引用来自“BugTermina”的评论

楼主管理公司服务器,公司允许你随便装?

有备机做测试,把日志放进去看是否生效,ok就在正式机上搞。
BugScanner
BugScanner
楼主管理公司服务器,公司允许你随便装?
使用 fail2ban 防御 SSH 服务器的暴力破解

对于SSH服务的常见的攻击就是暴力破解攻击——远程攻击者通过不同的密码来无限次地进行登录尝试。当然SSH可以设置使用非密码验证验证方式来对抗这种攻击,例如公钥验证或者双重验证。将不同的...

linux-tao
2017/11/15
48
0
Linux 王子 带你完成 Linux SSHD服务“gong fang”实战

重要声明: 本文以研究角度去说明SSHD服务的“gong ji”和防护原理,也不会提供文中所提到的“gong ji”工具(因为会被和谐掉哦!没办法^_^),请读者不要用违法用途,本人对于读者用户违法行...

xruan
2018/06/21
0
0
linux系统安全

方法一: 密码足够复杂 密码的长度要大于8位,最好大于14位。密码的复杂度是密码要尽可能有数字、大小写字符和特殊字符混合组成。 修改默认ssh端口 使用iptables关闭不需要使用的端口 sshd 默...

xucaibao1979
2017/06/30
0
0
安装配置fail2ban防止暴力破解

何为fail2ban fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你...

DragonFK
2013/02/20
3.3K
0
fail2ban防暴力破解-ssh防爆力登录

介绍 fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙iptables屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你...

RedbullMT
2016/06/10
283
0

没有更多内容

加载失败,请刷新页面

加载更多

小知识:讲述Linux命令别名与资源文件的区别

别名 别名是命令的快捷方式。为那些需要经常执行,但需要很长时间输入的长命令创建快捷方式很有用。语法是: alias ppp='ping www.baidu.com' 它们并不总是用来缩短长命令。重要的是,你将它...

老孟的Linux私房菜
52分钟前
4
0
《JAVA核心知识》学习笔记(6. Spring 原理)-5

它是一个全面的、企业应用开发一站式的解决方案,贯穿表现层、业务层、持久层。但是 Spring 仍然可以和其他的框架无缝整合。 6.1.1. Spring 特点 6.1.1.1. 轻量级 6.1.1.2. 控制反转 6.1.1....

Shingfi
54分钟前
5
0
Excel导入数据库数据+Excel导入网页数据【实时追踪】

1.Excel导入数据库数据:数据选项卡------>导入数据 2.Excel导入网页数据【实时追踪】:

东方墨天
今天
5
1
正则表达式如何匹配一个单词存在一次或零次并且不占捕获组位置

正则表达式如何匹配一个单词存在一次或零次并且不占捕获组位置 今天要用正则表达式实现匹配一个词出现一次或者不出现的情况,但是又不仅仅是这么简单的需求。先详细说下我这种情况吧,也许有...

Airship
今天
6
0
第八讲:asp.net C# web 读取文件

本讲主要讲解如何在asp.net页面上传文件。 首先,前台页面: 其次,后台页面: 结果: 1、前台效果: 2、后台结果:

刘日辉
今天
5
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部