使用Fail2ban阻挡针对公司邮件系统的暴力破解
博客专区 > prpr 的博客 > 博客详情
使用Fail2ban阻挡针对公司邮件系统的暴力破解
prpr 发表于4年前
使用Fail2ban阻挡针对公司邮件系统的暴力破解
  • 发表于 4年前
  • 阅读 2167
  • 收藏 56
  • 点赞 11
  • 评论 13

【腾讯云】如何购买服务器最划算?>>>   

摘要: 公司用的邮件系统三天两头有账号被人破解,乱发垃圾邮件害死整个公司,直到我发现Fail2ban这个软件。其通过扫描日志文件,利用正则式匹配登录错误的IP地址,然后可以将IP地址列入防火墙中,以达到我的目的。

公司使用的邮件系统经常被人使用pop暴力尝试破解,由于设置密码时并没有验证密码的复杂度,因此对于攻击者来说想破解那么一些账号真是轻而易举的事情;同时不断被人尝试破解也拖慢了系统速度。

不过还好邮件系统针对登录有日志(还不会烂到连日志都没有的地步吧 = =!),会记录尝试登录者的IP地址,因此利用iptables对可疑IP进行封锁便成为一个似乎可以执行的方案了,但是怎么做呢?搜索之后终于发现了fail2ban这款软件(点32个赞!)。


fail2ban是用python编写的开源软件:http://www.oschina.net/p/fail2ban,项目首页地址:http://www.fail2ban.org,授权协议为GPLv2。

其通过扫描日志文件,利用正则式匹配登录错误的IP地址,然后可以将IP地址列入防火墙中,同时还能给我发送email以提醒我有哪个IP地址被ban了。

嗯,正是我要的!开始安装它吧!

一、系统环境

OS:RHEL 5.6(32位)

Python:2.7.5(自带的2.4应该也可以)

二、安装软件

1. 安装fail2ban

http://www.fail2ban.org/wiki/index.php/Downloads 下载stable版本,然后源码安装:

[root@localhost tmp]# tar xvfj fail2ban-0.8.11.tar.bz2
[root@localhost tmp]# cd fail2ban-0.8.11
[root@localhost fail2ban-0.8.11]# python setup.py install

软件位于/usr/share/,二进制执行脚本位于/usr/bin,配置文件位于/etc/fail2ban。

然后将fail2ban放入开机启动列表里:

[root@localhost fail2ban-0.8.11]# chkconfig -a fail2ban

2. 安装pyinotify

由于邮件日志logrotate,每天凌晨会有一分钟左右不存在日志文件,如果使用默认的idle会导致fail2ban停止工作,因此需要安装pyinotify,该软件地址:http://www.oschina.net/p/pyinotify

https://github.com/seb-m/pyinotify 下载pyinotify,然后源码安装:

[root@localhost tmp]# cd pyinotify
[root@localhost pyinotify]# python setup.py install

3. (可选)安装mailx

由于RHEL 5自带的mailx太老,无法配置自定义的SMTP,因此需要安装最新的mailx程序。这个程序如何安装配置,这里就不赘述了。感兴趣的可以看这篇文章:http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

三、配置

配置前首先来看一下日志文件长什么样:

[root@localhost ~]# cat /var/log/pop_authlog
1381124478 M caohui example.com 0 ip:127.0.0.1 status:1
1381124481 M info example.com 0 ip:89.151.140.52 status:0
1381124482 M zhouqing example.com 0 ip:111.164.210.227 status:1
1381124487 M shell example.com 0 ip:89.151.140.52 status:0
1381124493 M linux example.com 0 ip:89.151.140.52 status:0
1381124495 M zhaoyong1 example.com 0 ip:127.0.0.1 status:1
1381124497 M unix example.com 0 ip:89.151.140.52 status:0
1381124502 M yangjun example.com 0 ip:180.109.216.129 status:1
1381124502 M webadmin example.com 0 ip:89.151.140.52 status:0
1381124508 M test example.com 0 ip:89.151.140.52 status:0
1381124511 M qc example.com 0 ip:180.166.242.30 status:1
1381124513 M admin example.com 0 ip:89.151.140.52 status:0
......

每一行关键数据是:账号,ip地址和状态,状态为1表示成功,状态为0表示失败。观察日志文件我们可以发现,来自89.151.140.52的设备正在不断更换常见账号尝试破解,因此我们需要让fail2ban将此ip用iptables封掉!

进入配置文件目录我们可以看到有这几个文件和目录:

/etc/fail2ban/
├── action.d
│   ├── dummy.conf
│   ├── hostsdeny.conf
│   ├── iptables.conf
│   ├── mail-whois.conf
│   ├── mail.conf
│   └── shorewall.conf
├── fail2ban.conf
├── fail2ban.local
├── filter.d
│   ├── apache-auth.conf
│   ├── apache-noscript.conf
│   ├── couriersmtp.conf
│   ├── postfix.conf
│   ├── proftpd.conf
│   ├── qmail.conf
│   ├── sasl.conf
│   ├── sshd.conf
│   └── vsftpd.conf
├── jail.conf
└── jail.local

每一个.conf文件都对应一个同名的.local文件,软件将先读取.conf文件,再读取对应的.local文件,.local文件会覆盖.conf文件中同名的配置。

1. 创建自定义规则

[root@localhost ~]# vim /etc/fail2ban/jail.local
#模块名称
[pop3-iptables]
#是否启用
enabled = true
#过滤器名称,注意这个名称与下面第二步所创建的过滤器文件名需一致
filter = my-pop3
#针对IP的行为,由于我们这里需要封的是pop3,因此端口是110,协议是tcp;第二行发送提醒信到管理员邮箱
action = iptables[name=pop3, port=110, protcol=tcp]
         mail-whois[name=POP3, dest=plutonji@example.com]
#检查的日志文件路径
logpath = /var/log/pop_authlog
#封禁时间(单位:秒)
bantime = 86400
#多少秒内匹配多少次就执行上面的action,这里是30s内匹配6次
findtime = 30
maxretry = 6

2. 创建过滤器

[root@localhost ~]#vim /etc/fail2ban/filter.d/my-pop3.conf
[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#使用正则表达式匹配到需要封的IP地址,即下面的<HOST>部分
failregex = ^.*ip:<HOST>\sstatus:0$

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

四、启动程序

[root@localhost ~]# service fail2ban start


标签: fail2ban
共有 人打赏支持
粉丝 3
博文 11
码字总数 13479
评论 (13)
vingzhang
不错,我们的服务器也是用这个软件
乐呵乐
这个软件好,可以用在HTTP等一系列的服务上,大赞
eechen
Fail2ban的工作原理是通过扫描log调用iptable屏蔽IP,支持扫描apache、sshd、postfix、dovecot等日志。
BugScanner
楼主管理公司服务器,公司允许你随便装?
prpr

引用来自“BugTermina”的评论

楼主管理公司服务器,公司允许你随便装?

有备机做测试,把日志放进去看是否生效,ok就在正式机上搞。
车开源
貌似我也正好需要
newban
mailx怎么没讲怎么配置,发送。。。1
prpr

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html
newban

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗
prpr

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗

mailx安装好以后,如果没有改默认的命令的话,得把路径敲全了。这种情况下去/etc/fail2ban/action.d/下找到mail-whois.conf,复制一份重命名为mail-whois.local,修改文件中的命令:把mail改为/usr/local/src/mailx-12.4/mailx,三个地方都要改。

actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban"|/usr/local/src/mailx-12.4/mailx -s "[Fail2Ban] <name>: started" <dest>
newban

引用来自“PlutonJi”的评论

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗

mailx安装好以后,如果没有改默认的命令的话,得把路径敲全了。这种情况下去/etc/fail2ban/action.d/下找到mail-whois.conf,复制一份重命名为mail-whois.local,修改文件中的命令:把mail改为/usr/local/src/mailx-12.4/mailx,三个地方都要改。

actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban"|/usr/local/src/mailx-12.4/mailx -s "[Fail2Ban] <name>: started" <dest>

貌似不行,这个邮件如过不设置账号密码,他怎么通过服务器验证发信件了。。。
newban

引用来自“PlutonJi”的评论

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗

mailx安装好以后,如果没有改默认的命令的话,得把路径敲全了。这种情况下去/etc/fail2ban/action.d/下找到mail-whois.conf,复制一份重命名为mail-whois.local,修改文件中的命令:把mail改为/usr/local/src/mailx-12.4/mailx,三个地方都要改。

actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban"|/usr/local/src/mailx-12.4/mailx -s "[Fail2Ban] <name>: started" <dest>

mailx设置了客户端通过外网smtp是可以发的,有个问题很奇怪,有个邮件地址没有在本机设置了客户端用户密码就能发送到目的邮箱地址,这个咋回事。。。
prpr

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

引用来自“PlutonJi”的评论

引用来自“newban”的评论

mailx怎么没讲怎么配置,发送。。。1

http://www.cnblogs.com/xiaoshi1991/archive/2012/09/19/2694465.html

谢谢哥们回复,这个链接之前试过了,结果不行。fail2ban默认是action触发sendmail发送的。哥们有试过邮件通知吗

mailx安装好以后,如果没有改默认的命令的话,得把路径敲全了。这种情况下去/etc/fail2ban/action.d/下找到mail-whois.conf,复制一份重命名为mail-whois.local,修改文件中的命令:把mail改为/usr/local/src/mailx-12.4/mailx,三个地方都要改。

actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban"|/usr/local/src/mailx-12.4/mailx -s "[Fail2Ban] <name>: started" <dest>

mailx设置了客户端通过外网smtp是可以发的,有个问题很奇怪,有个邮件地址没有在本机设置了客户端用户密码就能发送到目的邮箱地址,这个咋回事。。。
很多邮件客户端在不设置外网SMTP的情况下,会使用系统的sendmail邮件服务器(对于RHEL6则使用postfix)发送,你会发现发件人是你的机器名字
×
prpr
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: