使用Fail2ban抵御暴力破解和cc攻击
fail2ban 是一款防止暴力破解和 cc 攻击的开源工具,采用 Python 编写。
常用组件
| 工具 | 作用 |
|---|---|
| fail2ban-client | 客户端工具 |
| fail2ban-regex | 验证正则匹配 |
1 | # 查看启用的规则 |
| 配置文件目录 | 作用 |
|---|---|
| /etc/fail2ban/jail.d | ban 的规则,如多少次触发,触发后封禁多久等 |
| /etc/fail2ban/filter.d | 过滤规则,匹配日志的正则配置 |
规则测试
创建配置文件 /etc/fail2ban/jail.d/nginx-cc.conf
1 | [nginx-cc] |
| 配置 | 说明 | 备注 |
|---|---|---|
| enabled | 是否开启检测 | |
| port | 检查的端口 | 多个端口 , 分隔 |
| ignoreip | 忽略 IP 地址(CIDR 格式)或机器名,以空格分隔。 | |
| bantime | 主机被禁止时长,默认 600 秒。 | 高版本 Fail2ban 支持 s (秒), m (分)和 d (天)作为时间单位,如 10m 和 1d |
| maxretry | 在 findtime 时间窗口中,允许主机认证失败次数。达到最大次数,主机将被禁止。 | 在 findtime 时间段内,发生 maxretry 次,就会触发封禁。 |
| findtime | 查找主机认证失败的时间间隔。 不意味着每隔 findtime 时间扫描一次日志。 | 高版本 Fail2ban 支持 s (秒), m (分)和 d (天)作为时间单位,如 10m 和 1d |
| logpath | 扫描的日志文件 | fail2ban 按行扫描此文件,根据 filter 规则匹配失败的项目并统计 |
| action | 用什么方式来封禁, iptables 或 ufw 或 firewalld 等 | |
| action = %(action_)s | 只封禁, 不发送邮件 | |
| action = %(action_mw)s | 发邮件通知 | |
| action = %(action_mwl)s | 发邮件通知并带上日志 |
创建配置文件 /etc/fail2ban/filter.d/nginx-cc.conf
1 | [Definition] |
fail2ban-regex 测试
1 | # 正则规则检查 |
常见问题
ubuntu 启动报错
1 | ERROR Failed during configuration: Have not found any log file for sshd jail |
原因应该是 fail2ban 默认开启 ssh 监控,但是找不到 ssh 的日志。
网上搜索发现有人在 GitHub 上给出了解决方案。在 jail 设置里面加上以下内容即可顺利启动:
vim /etc/fail2ban/jail.d/defaults-debian.conf 在最上面加上:
1 | [DEFAULT] |
或者安装 rsyslog
1 | sudo apt install -y rsyslog |
SSH 错误密钥不封禁
fail2ban 安装完成后默认就会对 ssh 进行封禁(debian 系),配置文件见 /etc/fail2ban/jail.d/defaults-debian.conf, 默认对密码错误、密钥登陆的用户名错误都有封禁效果,但是用户名是正确的但是 key 错了是不封禁的, 可以通过修改 /etc/fail2ban/jail.d/defaults-debian.conf
1 | [sshd] |
配置 mode = aggressive 可解决此问题
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 杂烩饭!
相关推荐
2024-10-31
Fail2ban配合Docker使用解决暴力破解
fail2ban 正常使用可以参考 使用Fail2ban抵御暴力破解和cc攻击,但是对于使用了 Docker host 网络的容器来说是不生效的。原因最后说, 我们先复原一下部署情况 环境现状服务器是我自己的服务器,使用 Nginx 做入口,反向代理到不同的后端,后端服务和 Nginx 都是运行在 Docker 里,使用 Docker 的自定义网络进行互联。其中 Nginx 容器使用的是 Host 网络 配置 fail2ban确定 Docker 版 Nginx 日志路径Linux 内一切皆文件,Docker 会将日志写入到主机的一个日志文件中。通过 1docker inspect nginx --format "{{.LogPath}}" 可以查看到容器的日志位置 创建配置文件 /etc/fail2ban/jail.d/nginx-cc.conf123456789[nginx-cc]enabled = trueport = http,httpsfilter = nginx-ccaction =...
2024-10-31
fail2ban配合cloudflare cdn使用
Cloudflare 是一家全球最著名的 CDN 加速服务商,提供了免费和付费的网站加速和保护服务。即使是免费版,也提供了比较全面和强大的功能,非常不错。 通过使用 Cloudflare CDN 服务提供的全球节点,一方面可以提高网站响应速度和性能,节省源站资源;另一方面也可以保护站点抵御攻击,保证网站长期稳定在线。 fail2ban 是一个开源工具, 它通过分析日志, 将不满足要求的访问 (比如 cc 攻击、对网站进行扫描等) 的 ip 获取到, 通过自带防火墙 (iptables 等) 进行封禁. 问题一: 如何让 fail2ban 获取真实 IP 想要通过 fail2ban 来封禁 ip, 那么先要获取到用户 (或黑客) 的 ip, 如果不进行处理, 那么大概率你获取到的是 cloudflare 请求你用的 ip, 封禁这个 ip 是没有意义的… 我的服务架构是 cloudflare –> nginx –> 后端服务 在 nginx 上面配置 123456789101112131415server { ... # 这里设置一下Real_IP变量,...
2024-10-31
Iptables进行持久化配置,重启不丢失
操作文档针对 ubuntu20 和 centos 系统,其他系统类似。iptables-save 命令其实只是把配置文件打印出来,并不会真的 save,这个有点容易让人误解。 针对 ubuntu 平台ubuntu20 需要安装 iptables-persistent 才能实现持久化 1apt install iptables-persistent 持久化的配置文件保存在 12345# 针对ipv4/etc/iptables/rules.v4# 针对ipv6/etc/iptables/rules.v6 手动保存当前配置 12345# 针对ipv4sudo iptables-save > /etc/iptables/rules.v4# 针对ipv6sudo ip6tables-save > /etc/iptables/rules.v6 针对 centos 平台安装包 iptables-services 1sudo dnf install...
2024-10-31
使用iptables做4层端口转发
用途:有两台机器,需要用其中的一台机器做跳板,转发另一台机器一个特定的端口,机器列表如下 机器 IP iptables 机器 10.0.0.41 web 服务器 10.0.0.42:8000 开启内核转发功能临时开启永久开启1sudo sysctl -w net.ipv4.ip_forward=1 或者 1echo "1" > /proc/sys/net/ipv4/ip_forward1234567sudo vim /etc/sysctl.conf# 保证是这个配置net.ipv4.ip_forward=1# 立即生效sudo sysctl -p 本地端口转发到本地端口12# 访问本地的2222端口,转发到本地的22端口iptables -t nat -A PREROUTING -p tcp --dport 2222 -j REDIRECT --to-port 22 转发请求到目标主机这是通过本主机做一个跳转,比如访问 A 的 80 端口转发到 B 的 8000 端口 1234iptables -t nat -A...
评论
公告
此博客为我记录运维工作总结所用,供网友阅读参考,如有侵权,请通知我,我会核实后进行处理。
欢迎加入技术交流群:
