标签:iptables sshd 暴力 192.168 zmedu63 破本 fail2ban root
本测试需要的环境:
1)系统: centos7
2) python 版本大于2.4
具体操作步骤:
1. 编译安装fail2ban需要从官网下载包,解压安装即可
2.使用yum安装fail2ban
[root@zmedu63 ~]# yum -y install epel-release [root@zmedu63 ~]# yum -y install fail2ban
3.相关主要文件说明
/etc/fail2ban/action.d
#动作文件夹,内含默认文件。iptables以及mail等动作配置。
/etc/fail2ban/fail2ban.conf
#定义了fai2ban日志级别、日志位置及sock文件位置。
/etc/fail2ban/filter.d
#条件文件夹,内含默认文件。过滤日志关键内容设置。
/etc/fail2ban/jail.conf
#主要配置文件,模块化。主要设置启用ban动作的服务及动作阀值。
4. fail2ban测试
一般情况下对于10分钟内120次单个IP对服务器密码登录验证失败,我们就认为是机器所谓,也就是暴力破解。
但为了测试方便,我们按照下面的测试条件来进行测试:
设置条件:SSH远程登录5分钟内3次密码验证失败,禁止用户IP访问主机1小时,1小时该限制自动解除,用户可重新登录。
因为动作文件(action.d/iptables.conf)以及日志匹配条件文件(filter.d/sshd.conf )安装后是默认存在的。基本不用做任何修改。所有主要需要设置的就只有jail.conf文件。启用SSHD服务的日志分析,指定动作阀值即可。
实例文件/etc/fail2ban/jail.conf及说明如下:
[root@zmedu63 ~]# vim /etc/fail2ban/jail.conf [DEFAULT] #全局设置。 ignoreip = 127.0.0.1/8 #忽略的IP列表,不受设置限制。 bantime = 600 #屏蔽时间,单位:秒。 findtime = 600 #这个时间段内超过规定次数会被ban掉。 maxretry = 60 #最大尝试次数。 backend = auto #日志修改检测机制(gamin、polling和auto这三种)。 [sshd] #单个服务检查设置,如设置bantime、findtime、maxretry和全局冲突,服务优先级大于全局设置。 port = ssh logpath = %(sshd_log)s backend = %(sshd_backend)s #加入如下内容 enabled = true #是否激活此项(true/false)修改成 true。 filter = sshd #过滤规则filter的名字,对应filter.d目录下的sshd.conf。 action = iptables[name=SSH, port=ssh, protocol=tcp] #动作的相关参数,对应action.d/iptables.conf文件。 sendmail-whois[name=SSH, dest=you@example.com, sender=fail2ban@example.com, sendername="Fail2Ban"] #触发报警的收件人。 logpath = /var/log/secure #检测的系统的登陆日志文件。这里要写sshd服务日志文件。 默认为logpath = /var/log/sshd.log 。 #5分钟内3次密码验证失败,禁止用户IP访问主机1小时。 配置如下。 bantime = 3600 #禁止用户IP访问主机1小时。 findtime = 300 #在5分钟内内出现规定次数就开始工作。 maxretry = 3 #3次密码验证失败。
5. 启动服务
[root@zmedu63 ~]# systemctl start fail2ban #启动fail2ban服务。 [root@zmedu63 ~]# systemctl enable fail2ban #设置开机自动启动。
6.测试
[root@zmedu63 ~]# > /var/log/secure #清空日志内容。 [root@zmedu63 fail2ban]# systemctl restart fail2ban #重启fail2ban服务。 [root@zmedu63 ~]# iptables -L –n #在fail2ban服务启动后,iptables会多生成一个规则链
7.测试:故意输入错误密码3次,再进行登录时,会拒绝登录。
[root@zmedu64 ~]# ssh 192.168.1.63
root@192.168.1.63's password:
#故意输入错误密码。
Permission denied, please try again.
root@192.168.1.63's password:
#故意输入错误密码。
Permission denied, please try again.
root@192.168.1.63's password:
#故意输入错误密码。
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
[root@zmedu64 ~]# ssh 192.168.1.63
ssh: connect to host 192.168.1.63 port 22: Connection refused
[root@zmedu63 ~]# iptables -L |tail -4
#可以查看到192.168.1.64该IP被iptables禁止所有访问。
Chain fail2ban-SSH (1 references)
target prot opt source destination
REJECT all -- 192.168.1.64 anywhere
RETURN all -- anywhere anywhere
[root@zmedu63 ~]# fail2ban-client status
#配置好之后我们检测下fail2ban是否工作。
Status
|- Number of jail: 1
`- Jail list: sshd
#具体看某一项的状态也可以看,如果显示被ban的ip和数目就表示成功了,如果都是0,说明没有成功。
[root@zmedu63 ~]# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 1
|- Total banned: 1
`- Banned IP list: 192.168.1.64
8. 查看fail2ban的日志能够看到相关的信息。
[root@zmedu63 ~]# tail /var/log/fail2ban.log
2019-4-07 16:11:01,476 fail2ban.actions [27932]: NOTICE [sshd] Ban 192.168.1.64
需要注意的2点:
(1)另外如果后期需要把iptables清空后或iptables重启后,也需要把fail2ban重启一下。
(2)如果修改ssh默认端口22为2015后,配置fail2ban来监控SSHD服务需要修改配置文件
例:
[root@zmedu63 ~]# vim /etc/ssh/sshd_config 改 17 #Port 22 为 17 Port 2015 [root@zmedu63 ~]# systemctl restart sshd [root@zmedu63 ~]# vim /etc/fail2ban/jail.conf #修改iptables动作中的端口号,默认为SSH,如图 1-11 所示。 改:port=ssh 为 port=2015 修改fail2ban监听SSH端口 重启服务即可 [root@zmedu63 ~]# systemctl restart fail2ban
标签:iptables,sshd,暴力,192.168,zmedu63,破本,fail2ban,root 来源: https://blog.51cto.com/u_15187242/2749249
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。