fai2ban的介绍

fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的软件!

二、简单来介绍一下fail2ban的功能和特性

1、支持大量服务。如sshd,apache,qmail,proftpd,sasl等等
2、支持多种动作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail
notifications(邮件通知)等等。
3、在logpath选项中支持通配符
4、需要Gamin支持(注:Gamin是用于监视文件和目录是否更改的服务工具)
5、需要安装python,iptables,tcp-wrapper,shorewall,Gamin。如果想要发邮件,那必需安装postfix/sendmail

三、fail2ban安装与配置操作实例

1:安装epel更新源:http://fedoraproject.org/wiki/EPEL/zh-cn

# yum install shorewall gamin-python shorewall-shell shorewall-perl shorewall-common python-inotify python-ctypes fail2ban 

# yum install gamin-python python-inotify python-ctypes

# wget http://dl.fedoraproject.org/pub/epel/6/i386/fail2ban-0.8.11-2.el6.noarch.rpm

# rpm -ivh fail2ban-0.8.11-2.el6.noarch.rpm 

# yum install gamin-python python-inotify python-ctypes

# wget http://ftp.sjtu.edu.cn/fedora/epel//5/i386/fail2ban-0.8.4-29.el5.noarch.rpm

# rpm -ivh fail2ban-0.8.4-29.el5.noarch.rpm

2:源码包安装

# wget https://codeload.github.com/fail2ban/fail2ban/tar.gz/0.9.0

# tar -xzvf fail2ban-0.9.0.tar.gz 

12345678910111213141516171819202122232425262728293031 /etc/fail2ban/action.d            #动作文件夹,内含默认文件。iptables以及mail等动作配置

/etc/fail2ban/fail2ban.conf        #定义了fai2ban日志级别、日志位置及sock文件位置

/etc/fail2ban/filter.d            #条件文件夹,内含默认文件。过滤日志关键内容设置

/etc/fail2ban/jail.conf            #主要配置文件,模块化。主要设置启用ban动作的服务及动作阀值

/etc/rc.d/init.d/fail2ban          #启动脚本文件 

3. vi /etc/fail2ban/fail2ban.conf 

[Definition]

loglevel =3

logtarget = SYSLOG  #我们需要做的就是把这行改成/var/log/fail2ban.log,方便用来记录日志信息

socket =/var/run/fail2ban/fail2ban.sock

4. vi /etc/fail2ban/jail.conf 

[DEFAULT]              #全局设置

ignoreip = 127.0.0.1      #忽略的IP列表,不受设置限制

bantime  = 600            #屏蔽时间,单位:秒

findtime  = 600           #这个时间段内超过规定次数会被ban掉

maxretry = 3              #最大尝试次数

backend = auto            #日志修改检测机制(gamin、polling和auto这三种) 

[sshd]                     #单个服务检查设置,如设置bantime、findtime、maxretry和全局冲突,服务优先级大于全局设置。

enabled  = true               #是否激活此项(true/false)

filter   = sshd               #过滤规则filter的名字,对应filter.d目录下的sshd.conf

action   = iptables[name=SSH, port=ssh, protocol=tcp]#动作的相关参数,对应action.d/iptables.conf文件

logpath  = /var/log/secure     #检测的日志文件path

bantime  = 3600

findtime  = 300

maxretry = 3                   #最大尝试次数   

service fail2ban start 启动服务

4.解除fail2ban绑定的IP

查询限制列表

# iptables -L --line-numbers

Chain fail2ban-SSH (1references)

num  target    prot opt source            destination

1    DROP      all  -- 118.152.158.61.ha.cnc anywhere

2    RETURN    all  -- anywhere           anywhere

解除限制

# iptables -D fail2ban-SSH 我们主要编辑jail.conf这个配置文件,其他的不要去管它

# vi /etc/fail2ban.conf

SSH防攻击规则

ssh-iptables]enabled  = true

filter   = sshd

action   = iptables[name=SSH, port=ssh, protocol=tcp]

           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com, sendername="Fail2Ban"]

logpath  = /var/log/secure

maxretry = 5

[ssh-ddos]

enabled = true

filter  = sshd-ddos

action  = iptables[name=ssh-ddos, port=ssh,sftp protocol=tcp,udp]

logpath  = /var/log/messages

maxretry = 2

[osx-ssh-ipfw]

enabled  = true

filter   = sshd

action   = osx-ipfw

logpath  = /var/log/secure.log

maxretry = 5

[ssh-apf]

enabled = true

filter  = sshd

action  = apf[name=SSH]

logpath = /var/log/secure

maxretry = 5

[osx-ssh-afctl]

enabled  = true

filter   = sshd

action   = osx-afctl[bantime=600]

logpath  = /var/log/secure.log

maxretry = 5

[selinux-ssh]

enabled = true

filter  = selinux-ssh

action  = iptables[name=SELINUX-SSH, port=ssh, protocol=tcp]

logpath  = /var/log/audit/audit.log

maxretry = 5 

1 <BR> 

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171 proftp防攻击规则 

[proftpd-iptables]

enabled  = true

filter   = proftpd

action   = iptables[name=ProFTPD, port=ftp, protocol=tcp]

           sendmail-whois[name=ProFTPD, dest=you@example.com]

logpath  = /var/log/proftpd/proftpd.log

maxretry = 6 

邮件防攻击规则 

[sasl-iptables]

enabled  = true

filter   = postfix-sasl

backend  = polling

action   = iptables[name=sasl, port=smtp, protocol=tcp]

           sendmail-whois[name=sasl, dest=you@example.com]

logpath  = /var/log/mail.log

[dovecot]

enabled = true

filter  = dovecot

action  = iptables-multiport[name=dovecot, port="pop3,pop3s,imap,imaps,submission,smtps,sieve", protocol=tcp]

logpath = /var/log/mail.log

[dovecot-auth]

enabled = true

filter  = dovecot

action  = iptables-multiport[name=dovecot-auth, port="pop3,pop3s,imap,imaps,submission,smtps,sieve", protocol=tcp]

logpath = /var/log/secure

[perdition]

enabled = true

filter  = perdition

action  = iptables-multiport[name=perdition,port="110,143,993,995"]

logpath = /var/log/maillog 

[uwimap-auth]

enabled = true

filter  = uwimap-auth

action  = iptables-multiport[name=uwimap-auth,port="110,143,993,995"]

logpath = /var/log/maillog 

apache防攻击规则 

[apache-tcpwrapper]

enabled  = true

filter  = apache-auth

action   = hostsdeny

logpath  = /var/log/httpd/error_log

maxretry = 6

[apache-badbots]

enabled  = true

filter   = apache-badbots

action   = iptables-multiport[name=BadBots, port="http,https"]

           sendmail-buffered[name=BadBots, lines=5, dest=you@example.com]

logpath  = /var/log/httpd/access_log

bantime  = 172800

maxretry = 1

[apache-shorewall]

enabled  = true

filter   = apache-noscript

action   = shorewall

           sendmail[name=Postfix, dest=you@example.com]

logpath  = /var/log/httpd/error_log 

nginx防攻击规则 

[nginx-http-auth]

enabled = true

filter  = nginx-http-auth

action  = iptables-multiport[name=nginx-http-auth,port="80,443"]

logpath = /var/log/nginx/error.log

lighttpd防规击规则 

[suhosin]

enabled  = true

filter   = suhosin

action   = iptables-multiport[name=suhosin, port="http,https"]

# adapt the following two items as needed

logpath  = /var/log/lighttpd/error.log

maxretry = 2

[lighttpd-auth]

enabled  = true

filter   = lighttpd-auth

action   = iptables-multiport[name=lighttpd-auth, port="http,https"]

# adapt the following two items as needed

logpath  = /var/log/lighttpd/error.log

maxretry = 2 

vsftpd防攻击规则 

[vsftpd-notification]

enabled  = true

filter   = vsftpd

action   = sendmail-whois[name=VSFTPD, dest=you@example.com]

logpath  = /var/log/vsftpd.log

maxretry = 5

bantime  = 1800

[vsftpd-iptables]

enabled  = true

filter   = vsftpd

action   = iptables[name=VSFTPD, port=ftp, protocol=tcp]

           sendmail-whois[name=VSFTPD, dest=you@example.com]

logpath  = /var/log/vsftpd.log

maxretry = 5

bantime  = 1800 

pure-ftpd防攻击规则 

[pure-ftpd]

enabled  = true

filter   = pure-ftpd

action   = iptables[name=pure-ftpd, port=ftp, protocol=tcp]

logpath  = /var/log/pureftpd.log

maxretry = 2

bantime  = 86400 

mysql防攻击规则 

[mysqld-iptables]

enabled  = true

filter   = mysqld-auth

action   = iptables[name=mysql, port=3306, protocol=tcp]

           sendmail-whois[name=MySQL, dest=root, sender=fail2ban@example.com]

logpath  = /var/log/mysqld.log

maxretry = 5 

apache phpmyadmin 防攻击规则 

[apache-phpmyadmin]

enabled  = true

filter   = apache-phpmyadmin

action  = iptables[name=phpmyadmin, port=http,https protocol=tcp]

logpath  = /var/log/httpd/error_log

maxretry = 3

# /etc/fail2ban/filter.d/apache-phpmyadmin.conf

将以下内容粘贴到apache-phpmyadmin.conf里保存即可以创建一个apache-phpmyadmin.conf文件.

# Fail2Ban configuration file

#

# Bans bots scanning for non-existing phpMyAdmin installations on your webhost.

#

# Author: Gina Haeussge

# 

[Definition] 

docroot = /var/www

badadmin = PMA|phpmyadmin|myadmin|mysql|mysqladmin|sqladmin|mypma|admin|xampp|mysqldb|mydb|db|pmadb|phpmyadmin1|phpmyadmin2 

# Option:  failregex

# Notes.:  Regexp to match often probed and not available phpmyadmin paths.

# Values:  TEXT

#

failregex = [[]client []] File does not exist: %(docroot)s/(?:%(badadmin)s) 

# Option:  ignoreregex

# Notes.:  regex to ignore. If this regex matches, the line is ignored.

# Values:  TEXT

#

ignoreregex =

# service fail2ban restart 

写在最后,在安装完fail2ban后请立即重启一下fail2ban,看是不是能正常启动,因为在后边我们配置完规则后如果发生无法启动的问题我们可以进行排查.如果安装完后以默认规则能够正常启动,而配置完规则后却不能够正常启动,请先检查一下你 /var/log/ 目录下有没有规则里的 logpath= 后边的文件,或者这个文件的路径与规则里的是不是一致. 如果不一致请在 logpath 项那里修改你的路径, 如果你的缓存目录里没有这个文件,那么请你将该配置项的 enabled 项目的值设置为 false. 然后再进行重启fail2ban,这样一般不会有什么错误了

防暴力破解 Fail2Ban之python的更多相关文章

  1. fail2ban的使用以及防暴力破解与邮件预警

    fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员! fail2ban运行机制:简单来说其功能就 ...

  2. Centos6.4 安装fail2ban防暴力破解

    Centos6.4 安装fail2ban防暴力破解 一. 安装 curl -O https://codeload.github.com/fail2ban/fail2ban/tar.gz/0.9.0 m ...

  3. fail2ban 防暴力破解总结

    公司服务器安全问题一直是个令人头疼的问题,许多运维的小伙伴一直在用脚本来监控服务器登录状态,然而脚本编写比较麻烦,今天就给大家推荐一款小而精致的防暴力破解工具 fail2ban ,他可以监控系统日志, ...

  4. openssh安装、设置指定端口号、免密码登录、变量传递、防暴力破解

    首先确保机器挂在好光盘镜像,然后查看软件包信息 [root@xuegod63 ~]# df -hFilesystem      Size  Used Avail Use% Mounted on/dev ...

  5. centos7防暴力破解五种方法

    什么是暴力破解,简单来说就是对一个服务器进行无数次尝试登陆,并用不同的密码进行登陆直到可以登陆成功.暴力破解的基本步骤可以分为以下几步: 1. 找到对应的linux服务器    Ip地址 2.扫描端口 ...

  6. SSH防止暴力破解--fail2ban

    一.ssh密钥对无交互登录 实战1:通过密钥进行sshd服务认证 服务端:linl_S    IP:10.0.0.15 客户端:lin_C    IP:10.0.0.16   1)在客户端生成密钥对 ...

  7. WordPress防暴力破解:安全插件和用.htpasswd保护WordPress控制面板

    正在用Wordpress的博主们一定知道最近全球兴起的一波黑客锁定Wordpress暴力破解控制面板密码的风波了,据CloudFlare执行长Matthew Prince所说,所谓的暴力密码攻击是输入 ...

  8. [典型漏洞分享]YS的防暴力破解设计存在缺陷

    YS使用的防暴力破解机制存在缺陷,该缺陷可被用于暴力破解其它用户密码[高] 问题描述: YS在用户登录页面设置了验证码机制,当用户输入密码错误次数达到3次时,再次登录需要验证码以防止攻击者进行暴力破解 ...

  9. Odoo14 防暴力破解登录密码

    1 # Odoo14 防暴力破解登录密码 2 # 主要工具:redis 3 # 实现思路:限制每个用户24小时内登录失败次数.连续超过5次失败后,需要等待一定时间后才能再次尝试登录 4 # 配置:在你 ...

随机推荐

  1. 我是如何给discuz模板做语法高亮的

    本人一直做ASP.NET开发,近期接到任务要用Discuz开发一个社区,第一次接触PHP,PHP灵活的语法,天生的模块化,各种语法糖深深的震惊了我,我从内心深处感受到了PHP是最牛逼的语言!!! 好了 ...

  2. PAT乙级1001. 害死人不偿命的(3n+1)猜想 (15)

    卡拉兹(Callatz)猜想: 对任何一个自然数n,如果它是偶数,那么把它砍掉一半:如果它是奇数,那么把(3n+1)砍掉一半.这样一直反复砍下去,最后一定在某一步得到n=1.卡拉兹在1950年的世界数 ...

  3. HTML a标签 target属性作用

    特殊的目标 有 4 个保留的目标名称用作特殊的文档重定向操作: _blank 浏览器总在一个新打开.未命名的窗口中载入目标文档. _self 这个目标的值对所有没有指定目标的 <a> 标签 ...

  4. 【Python】Python中对象管理与垃圾回收中两个很有意思的问题

    再Python中是利用引用计数来实现对象管理和垃圾回收的,即其他对象引用该对象时候,其引用计数加1,反之减1,当引用计数为0时候,被垃圾收集器回收. Python解释器对对象以及计数器的管理分为以下两 ...

  5. [SOJ] 畅通工程续

    Description 某省自从实行了很多年的畅通工程计划后,终于修建了很多路.不过路多了也不好,每次要从一个城镇到另一个城镇时,都有许多种道路方案可以选择,而某些方案要比另一些方案行走的距离要短很多 ...

  6. 5、范围标签<fieldset></fieldset>

    <fieldset style="border:0;border:1px solid red;"> <legend style="background- ...

  7. Excel的 OleDb 连接串的格式(Provider=Microsoft.ACE.OLEDB)

    string strCon = "Provider=Microsoft.ACE.OLEDB.12.0;data source=" + filePath + ";Exten ...

  8. 洛谷-拼数-NOIP1998提高组复赛

    题目描述 Description 设有n个正整数(n≤20),将它们联接成一排,组成一个最大的多位整数. 例如:n=3时,3个整数13,312,343联接成的最大整数为:34331213 又如:n=4 ...

  9. python 内嵌函数, 闭包, 函数装饰器

    一.  函数内嵌 闭包 在python中,函数可以作为返回值, 可以给变量赋值. 在python中, 内置函数必须被显示的调用, 否则不会执行. #!/usr/bin/env python #-*- ...

  10. 【Python之路】第九篇--Python基础之线程、进程和协程

    进程与线程之间的关系 线程是属于进程的,线程运行在进程空间内,同一进程所产生的线程共享同一内存空间,当进程退出时该进程所产生的线程都会被强制退出并清除.线程可与属于同一进程的其它线程共享进程所拥有的全 ...