当客下载站:专业免费游戏下载中心
标签 帮助

centos下fail2ban安装与配置的详细介绍

时间:2016-01-11 10:25:26

发布者:chenzihang

来源:当客下载站

一、fail2ban简介

fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员,是不是很好、很实用、很强大!

二、简单来介绍一下fail2ban的功能和特性

1、支持大量服务。如sshd,apache,qmail,proftpd,sasl等等
2、支持多种动作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(邮件通知)等等。
3、在logpath选项中支持通配符
4、需要Gamin支持(注:Gamin是用于监视文件和目录是否更改的服务工具)
5、需要安装python,iptables,tcp-wrapper,shorewall,Gamin。如果想要发邮件,那必需安装postfix/sendmail

三、fail2ban安装与配置操作实例

1:安装epel更新源:http://fedoraproject.org/wiki/EPEL/zh-cn

复制代码 代码如下:# yum install shorewall gamin-python shorewall-shell shorewall-perl shorewall-common python-inotify python-ctypes fail2ban
or
复制代码 代码如下:# yum install gamin-python python-inotify python-ctypes
# wget http://dl.fedoraproject.org/pub/epel/6/i386/fail2ban-0.8.11-2.el6.noarch.rpm
# rpm -ivh fail2ban-0.8.11-2.el6.noarch.rpm
or
复制代码 代码如下:# yum install gamin-python python-inotify python-ctypes
# wget http://ftp.sjtu.edu.cn/fedora/epel//5/i386/fail2ban-0.8.4-29.el5.noarch.rpm
# rpm -ivh fail2ban-0.8.4-29.el5.noarch.rpm

2:源码包安装

复制代码 代码如下:
# wget https://codeload.github.com/fail2ban/fail2ban/tar.gz/0.9.0
# tar -xzvf fail2ban-0.9.0.tar.gz
# cd

/etc/fail2ban/action.d            #动作文件夹,内含默认文件。iptables以及mail等动作配置/etc/fail2ban/fail2ban.conf        #定义了fai2ban日志级别、日志位置及sock文件位置/etc/fail2ban/filter.d            #条件文件夹,内含默认文件。过滤日志关键内容设置/etc/fail2ban/jail.conf            #主要配置文件,模块化。主要设置启用ban动作的服务及动作阀值/etc/rc.d/init.d/fail2ban          #启动脚本文件
3. vi /etc/fail2ban/fail2ban.conf[Definition] loglevel =3 logtarget = SYSLOG  #我们需要做的就是把这行改成/var/log/fail2ban.log,方便用来记录日志信息 socket =/var/run/fail2ban/fail2ban.sock4. vi /etc/fail2ban/jail.conf 
[DEFAULT]               #全局设置ignoreip = 127.0.0.1       #忽略的IP列表,不受设置限制bantime  = 600             #屏蔽时间,单位:秒findtime  = 600             #这个时间段内超过规定次数会被ban掉maxretry = 3                #最大尝试次数backend = auto            #日志修改检测机制(gamin、polling和auto这三种)[sshd]                   #单个服务检查设置,如设置bantime、findtime、maxretry和全局冲突,服务优先级大于全局设置。enabled  = true             #是否激活此项(true/false)filter   = sshd              #过滤规则filter的名字,对应filter.d目录下的sshd.confaction   = iptables[name=SSH, port=ssh, protocol=tcp]#动作的相关参数,对应action.d/iptables.conf文件logpath  = /var/log/secure         #检测的日志文件pathbantime  = 3600findtime  = 300maxretry = 3
servicefail2ban start 启动服务
4.解除fail2ban绑定的IP 查询限制列表# iptables -L --line-numbersChainfail2ban-SSH (1references)num  target    prot opt source            destination1    DROP     all  -- 118.152.158.61.ha.cnc anywhere2    RETURN    all  -- anywhere          anywhere解除限制# iptables -D fail2ban-SSH 1
我们主要编辑jail.conf这个配置文件,其他的不要去管它.
复制代码 代码如下:
# vi /etc/fail2ban.conf

SSH防攻击规则

复制代码 代码如下:
[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com, sendername="Fail2Ban"]
logpath  = /var/log/secure
maxretry = 5

[ssh-ddos]
enabled = true
filter  = sshd-ddos
action  = iptables[name=ssh-ddos, port=ssh,sftp protocol=tcp,udp]
logpath  = /var/log/messages
maxretry = 2

[osx-ssh-ipfw]

enabled  = true
filter   = sshd
action   = osx-ipfw
logpath  = /var/log/secure.log
maxretry = 5

[ssh-apf]

enabled = true
filter  = sshd
action  = apf[name=SSH]
logpath = /var/log/secure
maxretry = 5

[osx-ssh-afctl]

enabled  = true
filter   = sshd
action   = osx-afctl[bantime=600]
logpath  = /var/log/secure.log
maxretry = 5

[selinux-ssh]
enabled = true
filter  = selinux-ssh
action  = iptables[name=SELINUX-SSH, port=ssh, protocol=tcp]
logpath  = /var/log/audit/audit.log
maxretry = 5


proftp防攻击规则
复制代码 代码如下:
[proftpd-iptables]

enabled  = true
filter   = proftpd
action   = iptables[name=ProFTPD, port=ftp, protocol=tcp]
           sendmail-whois[name=ProFTPD, dest=you@example.com]
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6


邮件防攻击规则
复制代码 代码如下:
[sasl-iptables]

enabled  = true
filter   = postfix-sasl
backend  = polling
action   = iptables[name=sasl, port=smtp, protocol=tcp]
           sendmail-whois[name=sasl, dest=you@example.com]
logpath  = /var/log/mail.log

[dovecot]

enabled = true
filter  = dovecot
action  = iptables-multiport[name=dovecot, port="pop3,pop3s,imap,imaps,submission,smtps,sieve", protocol=tcp]
logpath = /var/log/mail.log

[dovecot-auth]

enabled = true
filter  = dovecot
action  = iptables-multiport[name=dovecot-auth, port="pop3,pop3s,imap,imaps,submission,smtps,sieve", protocol=tcp]
logpath = /var/log/secure

[perdition]

enabled = true
filter  = perdition
action  = iptables-multiport[name=perdition,port="110,143,993,995"]
logpath = /var/log/maillog


[uwimap-auth]

enabled = true
filter  = uwimap-auth
action  = iptables-multiport[name=uwimap-auth,port="110,143,993,995"]
logpath = /var/log/maillog


apache防攻击规则
复制代码 代码如下:
[apache-tcpwrapper]

enabled  = true
filter  = apache-auth
action   = hostsdeny
logpath  = /var/log/httpd/error_log
maxretry = 6

[apache-badbots]

enabled  = true
filter   = apache-badbots
action   = iptables-multiport[name=BadBots, port="http,https"]
           sendmail-buffered[name=BadBots, lines=5, dest=you@example.com]
logpath  = /var/log/httpd/access_log
bantime  = 172800
maxretry = 1

[apache-shorewall]

enabled  = true
filter   = apache-noscript
action   = shorewall
           sendmail[name=Postfix, dest=you@example.com]
logpath  = /var/log/httpd/error_log


nginx防攻击规则
复制代码 代码如下:
[nginx-http-auth]

enabled = true
filter  = nginx-http-auth
action  = iptables-multiport[name=nginx-http-auth,port="80,443"]
logpath = /var/log/nginx/error.log


lighttpd防规击规则
复制代码 代码如下:
[suhosin]

enabled  = true
filter   = suhosin
action   = iptables-multiport[name=suhosin, port="http,https"]
# adapt the following two items as needed
logpath  = /var/log/lighttpd/error.log
maxretry = 2

[lighttpd-auth]

enabled  = true
filter   = lighttpd-auth
action   = iptables-multiport[name=lighttpd-auth, port="http,https"]
# adapt the following two items as needed
logpath  = /var/log/lighttpd/error.log
maxretry = 2


vsftpd防攻击规则
复制代码 代码如下:
[vsftpd-notification]

enabled  = true
filter   = vsftpd
action   = sendmail-whois[name=VSFTPD, dest=you@example.com]
logpath  = /var/log/vsftpd.log
maxretry = 5
bantime  = 1800

[vsftpd-iptables]

enabled  = true
filter   = vsftpd
action   = iptables[name=VSFTPD, port=ftp, protocol=tcp]
           sendmail-whois[name=VSFTPD, dest=you@example.com]
logpath  = /var/log/vsftpd.log
maxretry = 5
bantime  = 1800


pure-ftpd防攻击规则
复制代码 代码如下:
[pure-ftpd]
enabled  = true
filter   = pure-ftpd
action   = iptables[name=pure-ftpd, port=ftp, protocol=tcp]
logpath  = /var/log/pureftpd.log
maxretry = 2
bantime  = 86400
mysql防攻击规则
复制代码 代码如下:
[mysqld-iptables]

enabled  = true
filter   = mysqld-auth
action   = iptables[name=mysql, port=3306, protocol=tcp]
           sendmail-whois[name=MySQL, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/mysqld.log
maxretry = 5


apache phpmyadmin防攻击规则
复制代码 代码如下:
[apache-phpmyadmin]
enabled  = true
filter   = apache-phpmyadmin
action  = iptables[name=phpmyadmin, port=http,https protocol=tcp]
logpath  = /var/log/httpd/error_log
maxretry = 3
# /etc/fail2ban/filter.d/apache-phpmyadmin.conf
将以下内容粘贴到apache-phpmyadmin.conf里保存即可以创建一个apache-phpmyadmin.conf文件.

# Fail2Ban configuration file
#
# Bans bots scanning for non-existing phpMyAdmin installations on your webhost.
#
# Author: Gina Haeussge
#

[Definition]

docroot = /var/www
badadmin = PMA|phpmyadmin|myadmin|mysql|mysqladmin|sqladmin|mypma|admin|xampp|mysqldb|mydb|db|pmadb|phpmyadmin1|phpmyadmin2

# Option:  failregex
# Notes.:  Regexp to match often probed and not available phpmyadmin paths.
# Values:  TEXT
#
failregex = [[]client []] File does not exist: %(docroot)s/(?:%(badadmin)s)

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
# service fail2ban restart

写在最后,在安装完fail2ban后请立即重启一下fail2ban,看是不是能正常启动,因为在后边我们配置完规则后如果发生无法启动的问题我们可以进行排查.如果安装完后以默认规则能够正常启动,而配置完规则后却不能够正常启动,请先检查一下你 /var/log/ 目录下有没有规则里的 logpath= 后边的文件,或者这个文件的路径与规则里的是不是一致. 如果不一致请在 logpath 项那里修改你的路径, 如果你的缓存目录里没有这个文件,那么请你将该配置项的 enabled 项目的值设置为 false. 然后再进行重启fail2ban,这样一般不会有什么错误了.

相关教程

热门教程

1

看本子神器推荐 有哪些现在能用的看本子的APP

2

歪歪漫画登录页面免费漫画入口二维码:歪歪漫画登录入口界面在线

3

匿名聊天室汇总 匿名聊天网站大全

4

如何跳过Steam直接打开游戏?绕开steam启动游戏教程

5

用手机怎么看片 用手机看你懂得教程

6

u盘无法格式化是什么原因?u盘无法格式化的三个解决方法

7

EhViewer账号分享 EhViewer可以进里站的满龄账号共享

8

免费看电影的网站 看电影的app哪个好用

9

欲火阁在线视频网址 欲火阁视频手机版下载地址

10

共享打印机提示无法连接到打印机要怎么解决?

1

看本子神器推荐 有哪些现在能用的看本子的APP

2

匿名聊天室汇总 匿名聊天网站大全

3

欲火阁在线视频网址 欲火阁视频手机版下载地址

4

用手机怎么看片 用手机看你懂得教程

5

EhViewer账号分享 EhViewer可以进里站的满龄账号共享

6

影音先锋手机版看毛片教程

7

u盘无法格式化是什么原因?u盘无法格式化的三个解决方法

8

专门看女主播跳舞的app 火辣美女跳舞软件app推荐

9

一般wifi初始密码是多少 WIFI默认密码是多少

10

类似于蓝光看片王app有哪些 与蓝光看片王类似看片软件推荐

最新软件

系统之家装机大师 V1.5.5.1336 官方版

系统之家装机大师 V1.5.5.1336 官方版

系统之家装机大师是专为小白用户打造的装机工具,操作简单,适合32位和64位的电脑安装使用,支持备份或还原文件,也能通过系统之家装机大师,制作U盘启动盘,智能检测当前配置信息,选择最佳的安装方式,无广告,请大家放心使用。

 Win10 KB5022282补丁 官方版

Win10 KB5022282补丁 官方版

Win10 22H2累积更新补丁KB5022282已经发布了,大家可以通过系统更新中心接收,或者直接当客下载更新补丁包,安装后的系统版本升级为19045 2486,此次更新包含针对最新安全威胁的保护措施,如有需要的用户,欢迎到本站下载。

 Win11 KB5022364离线更新补丁 官方版

Win11 KB5022364离线更新补丁 官方版

据当客小编最新消息,微软公司发布2023年第一个Bate补丁Win11 KB5022364,此次更新补丁不仅可以解决部分导致任务栏上半部分被截断的问题,还修复了某些情况开始菜单无法正确显示的情况,接下来本站为大家提供下载地址,欢迎有需要的小伙伴前来下载。
Win11 KB5021255离线更新补丁 官方版

Win11 KB5021255离线更新补丁 官方版

Win11 KB5021255离线更新补丁是微软今早刚发布的最新补丁,用户可以升级补丁至内部版本22621 963,此次更新不仅为用户解决了可能影响任务管理器的问题,而且针对DPAPI解密进行了一定的改进,接下来本站为大家提供补丁下载。

 石大师U盘制作工具 V1.6.1.175 官方版

石大师U盘制作工具 V1.6.1.175 官方版

石大师U盘制作工具是一款非常专业的系统装机软件,该软件支持一键系统重装、U盘重启、备份还原等,用户可以根据自身需求自行选择安装方式,支持所以品牌重装系统以及一键装机原版系统,操作简单,无需任何操作技术,有需要的用户快来下载吧。

 石大师一键重装系统 V1.6.4.104 官方最新版

石大师一键重装系统 V1.6.4.104 官方最新版

石大师一键重装系统是一款帮助用户实现一键重装的软件,同时还支持制作万能U盘启动盘的工具,提供win11、win10、win7、winxp等各种系统版本的一键重装,功能强大,兼容性强,就算是小白也可以快速装机,感兴趣的快来下载吧。

系统专题

当客下载站 © 版权所有 闽ICP备2023005478号 举报邮箱:613650673@qq.com

本站资源均收集整理于互联网,其著作权归原作者所有,如果有侵犯您权利的资源,请来信告知,我们将及时撤销相应资源。

温馨提示:抵制不良游戏 拒绝盗版游戏 注意自我保护 谨防受骗上当 适度游戏益脑 沉迷游戏伤身 合理安排时间 享受健康生活