如何在CentOS 8上安装和配置Fail2ban


原文地址:如何在CentOS 8上安装和配置Fail2ban

Fail2ban是一个开源工具,可以通过监视服务日志中的恶意活动来帮助保护Linux机器免受暴力攻击和其他自动攻击。本文介绍了如何在CentOS 8上安装和配置Fail2ban。

暴露给Internet的所有服务器都有遭受恶意软件攻击的风险。例如,如果您有连接到公用网络的软件,则攻击者可以使用蛮力尝试来访问应用程序。

Fail2ban是一个开源工具,可以通过监视服务日志中的恶意活动来帮助保护Linux机器免受暴力攻击和其他自动攻击。它使用正则表达式来扫描日志文件。对所有与模式匹配的条目进行计数,并且当它们的数量达到某个预定义的阈值时,Fail2ban会在特定时间段内禁止有问题的IP。默认系统防火墙用作禁止操作。禁止期限到期后,将从禁止列表中删除IP地址。

本文介绍了如何在CentOS 8上安装和配置Fail2ban。

在CentOS上安装Fail2ban

Fail2ban软件包包含在默认的CentOS 8存储库中。要安装它,请以root或具有sudo特权的用户身份输入以下命令:

sudo dnf install fail2ban

安装完成后,启用并启动Fail2ban服务:

sudo systemctl enable --now fail2ban

要检查Fail2ban服务器是否正在运行,请键入:

sudo systemctl status fail2ban
 fail2ban.service - Fail2Ban Service
   Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; enabled; vendor preset: disabled)
   Active: active (running) since Thu 2020-09-10 12:53:45 UTC; 8s ago
...

至此,您已经在CentOS服务器上运行了Fail2Ban。

Fail2ban配置 

默认的Fail2ban安装带有两个配置文件,/etc/fail2ban/jail.conf/etc/fail2ban/jail.d/00-firewalld.conf。这些文件不应被修改,因为在更新软件包时它们可能会被覆盖。

Fail2ban按以下顺序读取配置文件:

  • /etc/fail2ban/jail.conf
  • /etc/fail2ban/jail.d/*.conf
  • /etc/fail2ban/jail.local
  • /etc/fail2ban/jail.d/*.local

每个.local文件都会覆盖文件中的设置.conf

配置Fail2ban的最简单方法是将复制jail.confjail.local并修改.local文件。更高级的用户可以.local从头开始构建配置文件。该.local文件不必包括相应.conf文件中的所有设置,仅包括您要覆盖的设置。

.local从默认jail.conf文件创建配置文件:

sudo cp /etc/fail2ban/jail.{conf,local}

要开始将Fail2ban服务器配置为打开,jail.local请使用文本编辑器打开该文件:

sudo nano /etc/fail2ban/jail.local

该文件包含描述每个配置选项功能的注释。在此示例中,我们将更改基本设置。

将IP地址列入白名单

您可以将要排除的IP地址,IP范围或主机添加到ignoreip指令中。在这里,您应该添加您的本地PC IP地址以及您要列入白名单的所有其他计算机。

取消以开头的行的注释,ignoreip并添加IP地址(以空格分隔):

/etc/fail2ban/jail.local

ignoreip = 127.0.0.1/8 ::1 123.123.123.123 192.168.1.0/24

禁止设置

的值bantimefindtimemaxretry选项定义禁令时间和禁止条件。

bantime禁止IP的持续时间。如果未指定后缀,则默认为秒。默认情况下,该bantime值设置为10分钟。通常,大多数用户会希望设置更长的禁止时间。根据您的喜好更改值:

/etc/fail2ban/jail.local

bantime  = 1d

要永久禁止IP,请使用负数。

findtime是设置禁令前的失败次数之间的持续时间。例如,如果将Fail2ban设置为在5次失败后禁止IP(maxretry请参见下文),则这些失败必须在findtime持续时间内发生。

/etc/fail2ban/jail.local

findtime  = 10m

maxretry是禁止IP之前的失败次数。默认值设置为5,这对于大多数用户来说应该没问题。

/etc/fail2ban/jail.local

maxretry = 5

邮件通知

当IP被禁止时,Fail2ban可以发送电子邮件警报。要接收电子邮件,您需要在服务器上安装SMTP并更改默认操作,该操作仅将IP禁止为%(action_mw)s,如下所示:

/etc/fail2ban/jail.local

action = %(action_mw)s

%(action_mw)s将禁止违规的IP,并发送包含Whois报告的电子邮件。如果要在电子邮件中包含相关日志,请将操作设置为%(action_mwl)s

您还可以调整发送和接收电子邮件地址:

/etc/fail2ban/jail.local

destemail = admin@linuxize.com

sender = root@linuxize.com

Fail2ban监狱

Fail2ban使用监狱的概念。监狱描述了一项服务,其中包括过滤器和操作。对符合搜索模式的日志条目进行计数,并在满足预定义条件时执行相应的操作。

Fail2ban附带有许多用于不同服务的监狱。您还可以创建自己的监狱配置。

默认情况下,在CentOS 8上,没有启用监狱。要启用监狱,您需要enabled = true在监狱标题后添加。以下示例显示了如何启用sshd监狱:

/etc/fail2ban/jail.local

[sshd]
enabled   = true
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

我们在上一节中讨论的设置可以按监狱设置。这是一个例子:

/etc/fail2ban/jail.local

筛选器位于/etc/fail2ban/filter.d目录中,并存储在与监狱同名的文件中。如果您具有自定义设置并具有使用正则表达式的经验,则可以微调过滤器。

每次修改配置文件时,都必须重新启动Fail2ban服务,以使更改生效:

sudo systemctl restart fail2ban

Fail2ban客户端

Fail2ban附带了一个名为的命令行工具fail2ban-client,可用于与Fail2ban服务进行交互。

要查看fail2ban-client命令的所有可用选项,请使用选项调用它-h

fail2ban-client -h

此工具可用于禁止/取消禁止IP地址,更改设置,重新启动服务等等。这里有一些例子:

检查监狱的状态:

sudo fail2ban-client status sshd

取消IP:

sudo fail2ban-client set sshd unbanip 23.34.45.56

禁止IP:

sudo fail2ban-client set sshd banip 23.34.45.56

结论

我们已经向您展示了如何在CentOS 8上安装和配置Fail2ban。有关配置Fail2ban的更多信息,请访问官方文档

评论

登录后评论

服务器优惠活动

Top