当前位置:首页>文章中心>帮助说明>Linux 安装 fail2ban 防御暴力登录破解

Linux 安装 fail2ban 防御暴力登录破解

发布时间:2017-12-18 点击数:1357
在使用任何开放SSH端口登录的Liunx服务器时,经常会遇到暴力破解登录,OSOA服务器也不例外,在没有做任何安全防护工作时,这是任何服务器不可避免的。

具体特征为:您在登录服务器时,会发现在命令行中提示了几千甚至几万次失败登录尝试,这是网络非法分子通过对IP段的批量扫爆,多次尝试登录,而留下的记录,一旦您使用弱密码或已成功被爆破,将会对您的服务器带来重大安全隐患。

所以使用OSOA服务器产品的用户,我们建议您使用SSH Key,来登录服务器,或者在服务器上安装fail2ban,来防御扫爆入侵,本文将指导您安装并启用fail2ban 服务。

1.使用root方式登录OSOA服务器SSH

2.安装fail2ban

apt-get install fail2ban -y //Ubuntu、Debian 等
yum install fail2ban -y //CentOS/RHEL、Fedora 等


3.配置fail2ban,我们给出一个示例配置文件
vi /etc/fail2ban/jail.conf


[DEFAULT]
# 以空格分隔的列表,可以是 IP 地址、CIDR 前缀或者 DNS 主机名
# 用于指定哪些地址可以忽略 fail2ban 防御
ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24 192.168.0.0/24
 
# 客户端主机被禁止的时长(秒)
bantime = 86400
 
# 客户端主机被禁止前允许失败的次数 
maxretry = 5
 
# 查找失败次数的时长(秒)
findtime = 600
 
mta = sendmail
 
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected]]
# Debian 系的发行版 
logpath = /var/log/auth.log
# Red Hat 系的发行版
logpath = /var/log/secure
# ssh 服务的最大尝试次数 
maxretry = 3
根据上述配置,fail2ban会自动禁止在最近10分钟内有超过3次访问尝试失败的任意IP地址。一旦被禁,这个IP地址将会在24小时内一直被禁止访问 SSH 服务。这个事件也会通过sendemail发送邮件通知。

4.配置完成后,重启fail2ban,即可生效
service fail2ban restart //Debian, Ubuntu 或 CentOS/RHEL 6
systemctl restart fail2ban //Fedora 或 CentOS/RHEL 7
测试 fail2ban 并监控日志
您可以尝试在本地多次登录VPS SSH并使用错误密码,同时监控/var/log/fail2ban.log日志文件,该文件记录在fail2ban中发生的任何敏感事件。
tail -f /var/log/fail2ban.log
检查fail2ban状态解禁被锁住的IP地址
由于fail2ban的“ssh-iptables”监狱使用iptables来阻塞问题IP地址,你可以通过以下方式来检测当前iptables来验证禁止规则。
iptables --list -n
如果你想要从fail2ban中解锁某个IP地址,可以使用iptables命令来完成
iptables -D fail2ban-SSH -s XXX.XXX.XXX.XXX -j DROP
当然你可以使用上述的iptables命令手动地检验和管理fail2ban的IP阻塞列表,但实际上有一个适当的方法就是使用fail2ban-client命令行工具。这个命令不仅允许你对"ssh-iptables"监狱进行管理,同时也是一个标准的命令行接口,可以管理其他类型的fail2ban监狱。

检验fail2ban状态(会显示出当前活动的监狱列表):
fail2ban-client status
检验一个特定监狱的状态(例如ssh-iptables):
fail2ban-client set ssh-iptables unbanip XXX.XXX.XXX.XXX

fail2ban-client status ssh-iptables
解锁特定的IP地址:

注意,如果你停止了Fail2ban 服务,那么所有的IP地址都会被解锁。当你重启 Fail2ban,它会从/etc/log/secure(或 /var/log/auth.log)中找到异常的IP地址列表,如果这些异常地址的发生时间仍然在禁止时间内,那么Fail2ban会重新将这些IP地址禁止。
设置 Fail2ban 自动启动
chkconfig fail2ban on // CentOS/RHEL 6
systemctl enable fail2ban // Fedora 或 CentOS/RHEL 7