1、理论部分
1.1、环境概述
笔者实战阿里云发现,阿里云提供的centos 6.5版本的镜像是经过阿里云修改的。
默认会禁用以下两个:
1)iptables管理工具
2)SELinux
笔者参阅了一下文献(见本人页最后),发现fail2ban由于版本的变化,原文的设置方法已经发生变化,故而参阅原文的基础上重写关于fail2ban的设置文档。
1.2、fai2ban的介绍
fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的软件!
1.3、管理文件结构介绍
1)/etc/fail2ban/action.d
动作文件夹,内含默认文件。iptables以及mail等动作配置
2)/etc/fail2ban/fail2ban.conf
定义fail2ban日志级别,日志位置及sock文件位置
3)/etc/fail2ban/filter.d
条件文件夹,内含默认文件。过滤日志关键内容设置
4)/etc/fail2ban/jail.conf
主配置文件、模块化。主要设置启用ban动作的服务以及动作阀值。
5)/etc/rc.d/init.d/fail2ban
fail2ban服务的启动脚本
1.4、fai2ban的工作原理
1)读取/etc/fail2ban/jail.conf中开启的服务,如sshd,vsftpd等
2)根据开启的服务,在/etc/fail2ban/filter.d选择对应的日志过滤规则监控日志
3)根据开启的服务和日志过滤规则查找违反/etc/fail2ban/jail.conf所定义的findtime(查找时间段)与maxretry(最大尝试次数)的服务日志。
4)如果发现有违反日志则根据/etc/fail2ban/action.d定义的动作执行(如iptables生成拒绝某个IP访问服务器的规则)。
注:以上原理是本人根据使用经验分析的结果,有不当之处欢迎指正。
2、实验部分
2.1、基yum源安装
1
|
yum
install
-y iptables fail2ban.noarch
|
2.2、iptables设置
1)vim编辑/etc/sysconfig/iptables
增加如下内容:
1
2
3
4
5
6
7
8
9
10
11
12
13
|
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
|
2)重启iptables服务
1
|
/etc/init
.d
/iptables
restart
|
2.3、fail2ban设置
1)vim编辑/etc/fail2ban/fail2ban.conf
1
2
3
4
5
6
7
8
|
[Definition]
loglevel = INFO
logtarget = SYSLOG
syslogsocket = auto
socket =
/var/run/fail2ban/fail2ban
.sock
pidfile =
/var/run/fail2ban/fail2ban
.pid
dbfile =
/var/lib/fail2ban/fail2ban
.sqlite3
dbpurgeage = 86400
|
注:以上不做任何修改
2)vim编辑/etc/fail2ban/jail.conf
请参阅注解部分,详细如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
|
[INCLUDES]
before = paths-fedora.conf
[DEFAULT]
ignoreip = 127.0.0.1
/8
ignorecommand =
bantime = 600
findtime = 60
#修改搜索日志的时间段为一分钟
maxretry = 5
#修改上面时间段内最大尝试为5次
backend = auto
usedns = warn
logencoding = auto
enabled =
false
filter = %(__name__)s
destemail = will@cmdschool.org
sender = root@localhost
mta = sendmail
protocol = tcp
chain = INPUT
port = 0:65535
banaction = iptables-multiport
action_ = %(banaction)s[name=%(__name__)s, bantime=
"%(bantime)s"
, port=
"%(port)s"
, protocol=
"%(protocol)s"
, chain=
"%(chain)s"
]
action_mw = %(banaction)s[name=%(__name__)s, bantime=
"%(bantime)s"
, port=
"%(port)s"
, protocol=
"%(protocol)s"
, chain=
"%(chain)s"
]
%(mta)s-whois[name=%(__name__)s, dest=
"%(destemail)s"
, protocol=
"%(protocol)s"
, chain=
"%(chain)s"
]
action_mwl = %(banaction)s[name=%(__name__)s, bantime=
"%(bantime)s"
, port=
"%(port)s"
, protocol=
"%(protocol)s"
, chain=
"%(chain)s"
]
%(mta)s-whois-lines[name=%(__name__)s, dest=
"%(destemail)s"
, logpath=%(logpath)s, chain=
"%(chain)s"
]
action_xarf = %(banaction)s[name=%(__name__)s, bantime=
"%(bantime)s"
, port=
"%(port)s"
, protocol=
"%(protocol)s"
, chain=
"%(chain)s"
]
xarf-login-attack[service=%(__name__)s, sender=
"%(sender)s"
, logpath=%(logpath)s, port=
"%(port)s"
]
action_cf_mwl = cloudflare[cfuser=
"%(cfemail)s"
, cftoken=
"%(cfapikey)s"
]
%(mta)s-whois-lines[name=%(__name__)s, dest=
"%(destemail)s"
, logpath=%(logpath)s, chain=
"%(chain)s"
]
action_blocklist_de = blocklist_de[email=
"%(sender)s"
, service=%(filter)s, apikey=
"%(blocklist_de_apikey)s"
]
action_badips = badips.py[category=
"%(name)s"
, banaction=
"%(banaction)s"
]
action = %(action_)s
[sshd]
enabled =
true
#开启sshd的防护功能
port =
ssh
logpath = %(sshd_log)s
[sshd-ddos]
port =
ssh
logpath = %(sshd_log)s
[dropbear]
port =
ssh
logpath = %(dropbear_log)s
[selinux-
ssh
]
port =
ssh
logpath = %(auditd_log)s
maxretry = 5
[vsftpd]
port =
ftp
,
ftp
-data,ftps,ftps-data
logpath = %(vsftpd_log)s
[mysqld-auth]
port = 3306
logpath = %(mysql_log)s
maxretry = 5
|
以上是服务开启范例,请参阅者根据实际情况设置。
注:开启服务在某个服务,如“[sshd]”下一行加入“enabled = true”即可。
2.4、服务重启
重启iptables与fail2ban服务:
1
2
|
/etc/init
.d
/iptables
restart
/etc/init
.d
/fail2ban
restart
|
注:fail2ban一定后于iptables启动,即重启iptables一定要重启fail2ban,相反重启fail2ban不用重新启iptables。
2.4、fail2ban检查与测试
1)键入如下命令查看防护墙变化:
1
|
iptables -L -n
|
可见如下内容:
1
2
3
|
Chain f2b-sshd (1 references)
target prot opt
source
destination
RETURN all -- 0.0.0.0
/0
0.0.0.0
/0
|
2)测试:
1
|
ssh
root@115.5.8.X
|
尝试找一个客户端去ssh登录你的服务器并故意输入错误的密码5次以上(模拟暴力破解过程)。
在被暴力破解的服务器输入如下命令检查测试结果:
1
|
iptables -L -n
|
可见有IP被拒绝:
1
2
3
4
|
Chain f2b-sshd (1 references)
target prot opt
source
destination
REJECT all -- 14.222.106.0 0.0.0.0
/0
reject-with icmp-port-unreachable
RETURN all -- 0.0.0.0
/0
0.0.0.0
/0
|
2.5、fail2ban的解除
输入如下命令解除封锁:
1
|
iptables -D f2b-sshd 1
|
2.6、fail2ban状态监控脚本
因为重启iptables需要重启fai2ban服务,故而我们需要增加此监控脚本防止管理员疏忽。
1)增加脚本文件夹
1
|
mkdir
~
/script
|
2)vim编辑~/script/f2bAutoRestart.sh加入如下内容
1
2
3
4
5
6
7
|
#!/bin/bash
fl=$(iptables -L -
v
-n |
grep
'Chain f'
|
wc
-l)
#echo $fl
if
[ $fl -
eq
0 ];
then
echo
'restart fai2band'
/etc/init
.d
/fail2ban
restart
fi
|
3)添加计划任务
1
|
crontab
-e
|
添加如下内容:
1
|
*
/5
* * * * sh ~
/script/f2bAutoRestart
.sh
|