使用fail2ban阻止暴力破解SSH密码

fail2ban是一个阻止攻击者暴力破解服务登录密码的工具。它扫描日志文件中的异常信息,根据用户设定对达到一定重试次数主机IP进行屏蔽,用户可自行设置屏蔽时间长短;还可发邮件告知系统管理员。实际的屏蔽操作是通过在iptables或Shorewall等防火墙软件中添加记录完成的。

1 系统环境

Debian 7.0 Wheezy

2 安装及设置

运行下面命令进行安装:

apt-get install fail2ban

fail2ban的配置文件位于/etc/fail2ban目录,后缀名为.conf。在这里,我们只需要修改jail.conf文件中的配置。为避免软件升级后覆盖配置文件,我们把默认配置文件复制一份,改名为jail.local:

cd /etc/fail2ban
cp jail.conf jail.local

.local文件默认会继承与其同名的.conf文件中的所有配置,因此我们只修改需要设置的部分,其他内容全部注释掉。找到[ssh]一节,按下面进行修改:

[ssh]
enabled  = true    #允许本条规则
port     = ssh    #服务端口
filter   = sshd    #使用的过滤器名称。过滤器文件在/etc/fail2ban/filter.d/目录下
logpath  = /var/log/auth.log    #监视的日志文件名
maxretry = 5    #最大允许重试次数
findtime = 60    #在此时间内(单位秒),如果未达到最大重试次数,计数器会清零
bantime = 2592000    #IP被屏蔽时间(单位秒)

3 其他说明

fail2ban不只可屏蔽对SSH的暴力破解,还能应用于Web服务器、邮件服务器、FTP服务器、DNS服务器等许多其他系统服务。Debian系统中的jail.conf文件是软件包维护者根据Debian系统修改的一个版本,原始配置文件在/usr/share/doc/fail2ban/examples/jail.conf。软件详细帮助信息可访问Fail2ban官网

点击量:33

发表评论

电子邮件地址不会被公开。 必填项已用*标注

10 − 7 =