fail2ban是一个阻止攻击者暴力破解服务登录密码的工具。它扫描日志文件中的异常信息,根据用户设定对达到一定重试次数主机IP进行屏蔽,用户可自行设置屏蔽时间长短;还可发邮件告知系统管理员。实际的屏蔽操作是通过在iptables或Shorewall等防火墙软件中添加记录完成的。
1 系统环境
Debian 7.0 Wheezy
2 安装及设置
运行下面命令进行安装:
apt-get install fail2ban
fail2ban的配置文件位于/etc/fail2ban目录,后缀名为.conf。在这里,我们只需要修改jail.conf文件中的配置。为避免软件升级后覆盖配置文件,我们把默认配置文件复制一份,改名为jail.local:
cd /etc/fail2ban cp jail.conf jail.local
.local文件默认会继承与其同名的.conf文件中的所有配置,因此我们只修改需要设置的部分,其他内容全部注释掉。找到[ssh]一节,按下面进行修改:
[ssh] enabled = true #允许本条规则 port = ssh #服务端口 filter = sshd #使用的过滤器名称。过滤器文件在/etc/fail2ban/filter.d/目录下 logpath = /var/log/auth.log #监视的日志文件名 maxretry = 5 #最大允许重试次数 findtime = 60 #在此时间内(单位秒),如果未达到最大重试次数,计数器会清零 bantime = 2592000 #IP被屏蔽时间(单位秒)
3 其他说明
fail2ban不只可屏蔽对SSH的暴力破解,还能应用于Web服务器、邮件服务器、FTP服务器、DNS服务器等许多其他系统服务。Debian系统中的jail.conf文件是软件包维护者根据Debian系统修改的一个版本,原始配置文件在/usr/share/doc/fail2ban/examples/jail.conf。软件详细帮助信息可访问Fail2ban官网。
Visits: 206