使用Fail2ban保护SSH

确定的攻击者可能会尝试暴力破解用户的密码以获取访问权限或尝试重复登录以消耗网络和系统资源，作为拒绝服务攻击的一部分。 Fail2ban可以通过监视服务器的日志文件，识别可疑活动以及自动禁止负责该活动的IP地址来帮助保护您免受此类攻击。 此配方教您如何安装Fail2ban以保护您的系统。

准备

此配方需要运行OpenSSH服务器的CentOS系统。 通过使用root帐户登录或使用sudo，还需要管理权限。 fail2ban包由EPEL存储库托管; 如果存储库尚未注册，请参阅第4章，软件安装管理中的注册EPEL和Remi存储库配方。

怎么做...

请按照以下步骤使用Fail2ban保护您的系统：

• 安装fail2ban软件包:

yum install fail2ban

• 使用以下内容创建jail配置文件/etc/fail2ban/jail.local：

[sshd]enabled=truebantime=86400maxretry=5

• 启动Fail2ban服务并在系统引导时启用其自动启动：:

systemctl start fail2ban.servicesystemctl enable fail2ban.service

• 要查看sshd jail的状态，请使用带有status命令的fail2ban-client:

fail2ban-client status sshd

工作原理

您已经学习了如何安装Fail2ban并在多次登录尝试失败后配置自动IP阻止。您还学习了如何使用fail2ban-client手动禁止和取消地址。

Fail2ban jail配置将过滤器和操作定义结合在一起，以便在服务器的日志文件中观察到某些模式时执行活动。过滤器指定用于标识有趣日志条目的模式定义，例如，重复的身份验证失败。另一方面，操作定义匹配过滤器时运行的命令。 Fail2ban附带了一些预定义的过滤器，用于Apache，MySQL，Sendmail和SSH等常见服务器，以及一些预定义的操作，例如管理iptable条目以阻止和取消阻止IP地址，发送电子邮件通知以及触发DNS更新。

/etc/fail2ban/jail.conf中定义了几个jail。为了激活sshd jail，我们创建了jail.local文件，其中的条目覆盖并扩展了默认的jail定义：

[sshd]enabled=truebantime=86400maxretry=5

直观地，启用选项启用或禁用jail。 maxretry，我们设置为5，是Fail2ban颁布禁令之前允许的失败登录尝试次数。 bantime设定禁令将持续多长时间，我们设置为86400秒。 使用此配置，用户在其IP地址被禁用24小时之前最多可以尝试5次失败。

jail.conf中的现有定义已经标识了默认端口和日志文件位置。 如果您在非标准端口上运行SSH，则可以使用端口覆盖原始定义的设置。 可以使用logfile覆盖SSH日志文件的位置。

fail2ban-client用于与Fail2ban服务进行交互。 其status命令输出有关服务当前状态的信息，如果status后跟一个jail名称，则返回有关jail的状态信息。 也许对jail的状态特别感兴趣的是已被禁止的IP地址列表：

fail2ban-client status sshd

jail的状态输出显示禁止的地址列表

客户端还具有get和set命令来检查和更新正在运行的服务的各种属性。 例如，获取sshd bantime将返回配置的禁用持续时间。 set sshd bantime临时更新持续时间，直到服务重新启动。

您可以通过设置jail的banip属性来手动禁止IP地址:

fail2ban-client set sshd banip 10.25.30.107

要手动取消地址，请设置unbanip:

fail2ban-client set sshd unbanip 10.25.30.107

如果出于某种原因禁止合法地址，则能够手动取消地址非常重要。 如果存在永远不会被阻止的地址，可能是测试集成服务器故意执行失败的登录，或者可能是管理员的计算机，您可以使用jail.local配置文件中的ignoreip选项来识别它们，并且Fail2ban将避免禁止这些地址:

ignoreip=10.25.30.107

See also

Refer to the following resources for more information on Fail2ban:

• The fail2ban-client manual page (man 1 fail2ban-client)
• Fail2ban Wiki (http://www.fail2ban.org/wiki/index.php/Main_Page)
• Permanently ban repeat offenders with Fail2ban (http://stuffphilwrites.com/2013/03/permanently-ban-repeat-offenders-fail2ban/)
• Monitoring the Fail2ban log (http://www.the-art-of-web.com/system/fail2ban-log/)

后记

这个是非常有用的，因为攻击SSH，破解SSH的流量不只是可以造成被入侵的风险，反复尝试登录也会消耗服务器资源，因为你不知道全球有多少王八蛋会同时进行攻击。