Linux伺服器安全之 fail2ban的安裝與配置

-Advertisement-

近日在查看Nginx的訪問日誌中，發現了大量404請求，仔細研究一番發現有人正在試圖爆破網站。我剛上線你就企圖攻擊我？？？？？？這怎麼能忍。。於是乎查資料後得知有一個神奇的工具 fail2ban 可以配合 iptables 自動封IP iptables 是Centos6 的一種防火牆策略，在 ...

近日在查看Nginx的訪問日誌中，發現了大量404請求，仔細研究一番發現有人正在試圖爆破網站。

我剛上線你就企圖攻擊我？？？？？？這怎麼能忍。。

於是乎 --- 查資料後得知有一個神奇的工具 fail2ban 可以配合 iptables 自動封IP

iptables 是Centos6 的一種防火牆策略，在Centos7 中已被 Firewall所取代

本次實驗系統為Centos6

不說了開乾

1. 下載並安裝fail2ban

1 　　cd /usr/loca/src
2 　　wget https://github.com/fail2ban/fail2ban/archive/0.9.4.tar.gz
3 　　tar -zxf 0.9.4.tar.gz
4 　　mv 0.9.4 fail2ban-094
5 　　cd fail2ban-094
6 　　./setup.py

2. 目錄結構

1 /etc/fail2ban                    # fail2ban 服務配置目錄
2 /etc/fail2ban/action.d           # iptables 、mail 等動作文件目錄
3 /etc/fail2ban/filter.d           # 條件匹配文件目錄，過濾日誌關鍵內容
4 /etc/fail2ban/jail.conf          # fail2ban 防護配置文件
5 /etc/fail2ban/fail2ban.conf      # fail2ban 配置文件，定義日誌級別、日誌、sock 文件位置等
6 
7 cd /etc/fail2ban                 # 進入配置文件所在的目錄
8 cp jail.conf jail.local          # 備份配置文件

3. 配置防護
首先編寫封禁訪問nginx 404狀態碼的ip地址的配置規則

1 vim /etc/fail2ban/filter.d/nginx.conf
2 
3 [Definition]
4 failregex = <HOST> -.*- .*HTTP/1.* 404 .*$
5 ignoreregex =

保存後測試配置文件相對於日誌是否正確

1 fail2ban-regex /home/wwwlogs/access.log /etc/fail2ban/filter.d/nginx.conf

然後將封禁規則加入配置文件

 1 vim /etc/fail2ban/jail.conf   # 文件尾部寫入
 2 
 3 [nginx]
 4 enabled = true
 5 port = http,https
 6 filter = nginx                          # 規則文件的名字
 7 action = iptables[name=nginx, port=http, protocol=tcp]
 8         # sendmail-whois[name=tomcat, dest=[email protected]] 發送郵件功能  
 9 logpath = /home/wwwlogs/access.log     # 日誌路徑
10 bantime = 14400                           # 封禁的時間
11 findtime = 3                          # 在幾秒內       
12 maxretry = 2                           # 有幾次

4. 啟動

1 /etc/init.d/iptables start
2 /etc/init.d/fail2ban start 或 fail2ban-client start

5. 查看狀態等命令

1 fail2ban-client start # 啟動
2 fail2ban-client reload # 重載
3 fail2ban-client stop # 停止
4 fail2ban-client status # 查看狀態
5 fail2ban-client set nginx addignoreip 180.158.35.30 # 將ip加入nginx監獄的白名單
6 fail2ban-client set nginx delignoreip 180.158.35.30 # 將ip移除nginx監獄的白名單
7 fail2ban-client set nginx banip IP地址 # 手工ban
8 fail2ban-client set nginx unbanip IP地址 # 手工解

6. 查看fail2ban的日誌

fail2ban的日誌預設在 /var/log/fail2ban.log

日誌中記錄著Ban IP的記錄和UnBan IP的記錄

也有修改配置文件重載後的記錄

cat /var/log/fail2ban

7. 小結

fail2ban 還有許多強大的功能待研究，在 /etc/fail2ban/filter.d 中，有許多模板可以學習並使用

雖說把非法請求封禁一段時間看似安全些，但只要有對外的埠就不能保證伺服器的絕對安全。多瞭解不同工具的組合使用，才會使伺服器更加安全。

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

VisualSVN 破解方法

第一步，首先準備反彙編工具 ildasm.exe,找到VisualSVN的安裝路徑，一般先備份，在備份裡面操作。第二步，轉儲，得到同名的il文件：VisualSVN.Core.L.il，用記事本打開得到的 VisualSVN.Core.L.il 文件，在其中搜索 “KeyToLicenseUn ...
.NET 增加擴展方法

聲明：通過一個js的實例來告訴你C#也可以實現這樣的效果。在JS中是這樣實現的：你是否見過JS中給系統預設Array對象增加一個自定義查重方法contains 在沒有給Array原型上增加contains之前，通過vs編輯器是無法通過點的方式來調用contains 當給Array原型上增加con ...
Linux下區分物理CPU、邏輯CPU和CPU核數

㈠概念 ① 物理CPU 實際Server中插槽上的CPU個數物理cpu數量，可以數不重覆的 physical id 有幾個 ② 邏輯CPU Linux用戶對 /proc/cpuinfo 這個文件肯定不陌生. 它是用來存儲cpu硬體信息的信息內容分別列出了processor 0 – n 的規格。 ...
Centos6.5中如何用sqlite3命令打開’.db’尾碼的資料庫執行sql

1. 簡單sql語句使用：在任意目錄下新建一個資料庫,比如student 。命令: sqlite3 student.db 出現如下提示：輸入sql語句create table user(username text primary key, password text); 建一張user表輸入 ...
鳥哥私房菜vim常用命令

第一部份：一般模式可用的按鈕說明，游標移動、複製貼上、搜尋取代等移動游標的方法 h 或向左箭頭鍵(←) 游標向左移動一個字元 j 或向下箭頭鍵(↓) 游標向下移動一個字元 k 或向上箭頭鍵(↑) 游標向上移動一個字元 l 或向右箭頭鍵(→) 游標向右移動一個字元如果你將右手放在鍵盤上的話 ...
u-boot-1.1.6第2階段入口函數start_armboot分析

學習目標： 1、分析u-boot-1.1.6第2階段入口函數void start_armboot (void)，熟悉該函數所實現的功能 2、為後面能夠掌握u-boot-1.1.6如何啟動內核過程打下基礎前面通過對uboot第一階段代碼的分析，我們瞭解的uboot第一階段所做的一些工作，並且找到了其 ...
Git 密鑰對處理

生成密鑰對： ssh-keygen -t rsa cd .ssh ls id_rsa 私鑰 id_rsa.pub 公鑰 ...
centos 安裝 nodejs

執行操作： curl -sL https://rpm.nodesource.com/setup_10.x | bash - 安裝nodejs yum install -y nodejs 輸入 node -v 出現版本號，說明安裝成功 ...