这FAIL2BANLinux中的工具监视攻击迹象的系统日志,将有问题的系统置于所谓的“监狱”中,并修改防火墙设置。它显示了任何给定时间的监狱中哪些系统,并且需要访问配置和查看发现的根。它通常用于Linux服务器。
FAIL2BAN主要集中于SSH攻击,但也可以配置为其他类型的攻击。
如何在Fedora 34上安装Fail2ban
准备安装FAIL2BAN,首先更新系统是一个好主意:
$ sudo dnf Update && sudo dnf升级-y
然后安装FAIL2BAN并通过此类命令验证其在您的系统上的存在:
$ sudo dnf install fail2ban $查找 /var -Name fail2ban /var /lib /fail2ban
要启动服务,请运行以下命令:
$ sudo systemctl启动fail2ban $ sudo systemctl启用fail2ban
接下来,您需要设置一个监狱。本地文件中的文件/etc/fail2ban。添加这样的内容将允许它注意失败的SSH连接,这可能表明有人试图通过猜测密码来登录。
美元
请注意,以上会得到FAIL2BAN阻止SSH三次失败登录尝试后的连接(请参阅maxretry环境)。您可以根据需要更改这些设置,但是允许三个机会很普遍。即使是合法的用户,不时错误的密码。
FAIL2BAN将自动在防火墙中添加规则以保护服务器。这样的命令将在防火墙规则中显示效果:
$ sudo iptables -n -l -lin -line -numbers |格雷普无法到达
2拒绝全部-0.0.0.0/0 0.0.0.0.0/0 recups with-with-with icmp-port-unreach
测试失败2BAN
如果您尝试使用SSH从其他系统登录一个帐户,但是连续三次将密码错误误导,则应阻止该帐户。然后,您可以使用这样的命令查看监狱系统:
$ sudo fail2ban-client状态SSHD的监狱状态:SSHD | - 过滤|| - 当前失败:0 || - 总失败:3 |` - 日记匹配:_systemd_unit = sshd.Service + _comm = sshd`-动作| - 当前禁止:1 | - 总限制:1` - 禁止IP列表:192.168.0.17 <==监狱系统
由于这只是一个测试以查看该工具的工作原理,因此您可能希望重新启用系统连接到服务器。您可以通过这样的命令立即将系统从监狱中取出:
$ SUDO FAIL2BAN-CLIENT SET SSHD UNBANIP 192.168.0.17
将“ Unbanip”读为“ UN-BAN IP”。
如果您添加bantime设置为您监狱。本地文件,您可以限制锁定持续时间。该值必须在几秒钟内指定:
$ cat car.local [sshd] enabled = true port = 22 filter = sshd logpath =/var/log/auth.log maxretry = 3 Bantime = 120 <== 2分钟
在上面的示例中,我们只将用户锁定了两分钟(120秒)。这使我们能够等待一点,然后检查以确保我们可以再次登录。超时默认为10分钟(600秒)。
未能从另一个系统登录后,您会在检查时看到这样的东西FAIL2BAN:
$ sudo fail2ban-client状态sshd [sudo] SHS的密码:监狱状态:SSHD | - 过滤|| - 当前失败:0 || - 总失败:3 |` - 日记匹配:_systemd _unit = sshd.Service + _comm = sshd`-动作| - 当前禁止:1 <==一个系统被阻止| - 总计禁止:1`-禁止IP列表:192.168.0.17 <== IP被禁止的系统
尝试从阻塞系统连接时,您会看到“连接拒绝”消息。两分钟后,您可以尝试再次登录。在服务器上,您还将看到状态输出中反映的更改:
$ sudo fail2ban-client状态sshd [sudo] SHS的密码:监狱状态:SSHD | - 过滤|| - 当前失败:0 || - 总失败:3 |` - 日记匹配:_systemd _unit = sshd.service + _comm = sshd`-action | - 当前禁止:0 <== no Systems blocked | - 总计禁止:1`-禁止IP列表:
查看失败2ban的日志数据
您可以找到证据FAIL2BAN日志文件中的活动。请注意,第一个禁令持续了10分钟(默认值),而第二个禁令只有两个(在更改测试的设置之后)。
$ SUDO EGREP“ BAN | UNBAN” /VAR/LOG/FAIL2BAN.LOG 2022-03-10 15:20:50,913 FAIL2BAN.ACTIONS [3870239]:注意[SSHD] BAN 192.168.0.17 2022-03 2022-03-10 15:30 15:30:50,012失败2ban.actions [3870239]:注意[SSHD] Unban 192.168.0.17 2022-03-11 11:34:09,024 Fail2ban.Actions [4055193]09,011 fail2ban.actions [4055193]:注意[SSHD] Unban 192.168.0.17 2022-03-11 12:18:23,825 FAIL2BAN.ACTIONS [4057814]23,778 fail2ban.actions [4057814]:注意[sshd] Unban 192.168.0.17
包起来
这FAIL2BAN工具还可以与SSH之外的其他连接一起使用,甚至可以配置为基于您所选设置的监狱和淘汰连接,以发送警报。