Linux 安装 fail2ban
fail2ban是一款入侵防御软件,能够运行在大多数Linux服务器上,保护计算机服务器免受暴力破解的攻击。fail2ban启动后会通过检测系统行为日志识别暴力破解行为,对于在短时间内多次未能通过身份验证的请求,fail2ban会自动调用系统自带的防火墙或包管理框架(如iptables或tcp wrapper等)进行封禁。
作者:炭烤毛蛋 ,点击博主了解更多。
提示:安装fail2ban之前,建议将ssh服务配置为通过密钥登录并禁止密码登录。
文章目录
- Linux 安装 fail2ban
- 1. 安装 fail2ban
- 2. fail2ban 配置
- 2.1 IP访问白名单
- 2.2 IP访问黑名单
- 3. 启动 fail2ban 失败情况分析
- 3.1 fail2ban 加载服务运行参数与系统不匹配
- 3.2 fail2ban 加载服务启动参数错误
- 结语
1. 安装 fail2ban
安装 fail2ban
sudo apt install fail2ban
启动 fail2ban 服务并设置开机自启
# 启动 fail2ban
sudo systemctl start fail2ban
# 设置 fail2ban 开机自启
sudo systemctl enable fail2ban
2. fail2ban 配置
安装后默认生成配置文件。更新Fail2ban时它们可能会被覆盖配置文件,不建议直接修改。
/etc/fail2ban/jail.d/defaults-debian.conf
/etc/fail2ban/jail.conf
按顺序读取配置文件,.conf 优先读取,但.local文件会覆盖 .conf 文件。
/etc/fail2ban/jail.conf
/etc/fail2ban/jail.d/*.conf
/etc/fail2ban/jail.d/*.conf
/etc/fail2ban/jail.d/*.local
2.1 IP访问白名单
不会从这些IP检测是否是恶意的访问,额外增加jail.local覆写jail.conf。
sudo cp /etc/fail2ban/jail.{conf,local}
sudo vi /etc/fail2ban/jail.local
# 增加忽略访问 IP
[DEFAULT]
ignoreip = 127.0.0.1/8 ::1 192.168.1.0/24
findtime = 60
maxretry = 5
bantime = -1
banaction = iptables-allports[ssh]
enable = true
port = 22
filter = sshd
logpath = /var/log/auth.log
[DEFAULT] 属性介绍:
ignoreip是忽略访问禁止IP。通常会设置回环地址和网关地址。
bantime,findtime和maxretry选项的值定义了禁止时间和禁止条件。
bantime是禁止持续的时间。如果未指定后缀,则默认为秒。默认情况下,bantime值设置为10分钟。通常,大多数用户都希望设置更长的禁止时间。你也可以根据您的喜好更改值bantime的值,要永久禁止IP,请使用负数:
bantime = 2d
findtime是设置失败次数之间的持续时间。 例如,如果将Fail2ban设置为在尝试五次失败后禁止IP(请参见下文maxretry),则这些失败必须在findtime时间内发生,即10分钟完成5次失败的尝试。
findtime = 10m
maxretry是允许IP失败尝试次数。 默认值设置为5,对于大多数用户来说应该够用。
maxretry = 5
banaction是端口禁止条件,iptables-allports 是禁用所有端口。
[ssh] 配置条件介绍
enable = true 是启用 ssh 扫描判断
port = 22 ssh的端口,如 ssh 更换默认端口,需要修改为相应端口
fileter = sshd 启用sshd 扫描判断
logpath 日志存放是路径
2.2 IP访问黑名单
邮件通知 IP 禁用
Fail2ban可以在IP被禁止时发送电子邮件警报。 要接收电子邮件,您需要在服务器上安装SMTP并更改默认的action,该action操作仅将IP禁止为%(action_mw)s
action = %(action_mw)s
(action_mw)s将禁止有问题的IP,并发送包含Whois报告的电子邮件。 如果要在电子邮件中包含相关日志,请将操作设置为%(action_mwl)s。可以调整发送和接收电子邮件地址:
destemail = admin@myfreax.com
sender = root@myfreax.com
Fail2ban Jail
Fail2ban使用Jail的概念,jail直接翻译就是囚牢。 Jail描述如何检测服务的条件。其中服务是系统的任意服务,比如sshd服务,Vsftpd服务等。条件是包括过滤器和操作。计算符合搜索模式的日志记录,并在满足预定条件时执行相应的操作。
Fail2ban附带许多Jail作为示例,系统每一项服务都可以找到对应Jail配置。 您还可以创建自己的Jail配置。默认情况下,在CentOS 8上没有启用Jail。 要启用Jail,您需要在添加enabled = true。 以下示例显示了如何为sshd服务启用Jail:
[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
重新启动Fail2ban服务,以使更改生效:
sudo systemctl restart fail2ban
查看 sshd 服务状态
sudo fail2ban-client status sshd
解除IP限制
sudo fail2ban-client set sshd unbanip 23.45.67.89
锁定限制 IP
sudo fail2ban-client set sshd banip 23.45.67.89
查看禁用 IP 脚本
#!/bin/bash
bad_ip=` grep 'Failed password for root from' /var/log/secure|awk '{print $11,$1,$2}'|sort|uniq -c|awk '$1>4 {print $2}'|xargs`for ip in $bad_ip; doin_iptables=`iptables -nvL|grep $ip |wc -l`if [ $in_iptables -eq 0 ]; theniptables -I INPUT -s $ip -j REJECTservice iptables savefi
done
3. 启动 fail2ban 失败情况分析
3.1 fail2ban 加载服务运行参数与系统不匹配
fail2ban [5639]: ERROR Failed during configuration: File contains no section headers.
原因:系统不支持systemctl,需要改为systemd启动。
解决方法:
[DEFAULT]
backend = systemd
Failed during configuration: Have not found any log file for sshd jail.
原因:应该是fail2ban默认开启ssh监控,却找不到ssh的日志。
解决方法同上。
3.2 fail2ban 加载服务启动参数错误
ExecStart=/usr/bin/fail2ban-server -xf start (code=exited, status=255/EXCEPTION)
running fail2ban-client -x start and you will get something descriptive.fail2ban-client -x start
2024-03-26 09:33:05,641 fail2ban [10289]: ERROR Failed during configuration: While reading from '/etc/fail2ban/jail.local' [line 133]: option 'backend' in section 'DEFAULT' already exists
根据系统提示找到,backend参数,将原有 backend = auto 改为 systemd 启动正常。
结语
不枉博主详细讲解,欢迎订阅博主–炭烤毛蛋 。
