基于Fail2Ban入侵防御软件预防通过ssh暴力破解

2024-08-31 04:12

本文主要是介绍基于Fail2Ban入侵防御软件预防通过ssh暴力破解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

1. Fail2Ban入侵防御软件介绍

  • Fail2Ban是一款开源的入侵防御软件,它通过自动分析系统日志文件来识别恶意的登录尝试(如暴力破解攻击),并能够动态更新防火墙(iptables)规则来暂时禁止这些攻击源的IP地址。
  • Fail2Ban使用Python编写,能够在支持POSIX的系统上运行,如Linux和其他类Unix系统。它支持多种服务,如SSH、Apache、mysql、nginx、FTP等,并且可以通过正则表达式来定制匹配规则,以适应不同的日志格式和攻击模式。Fail2Ban的配置灵活,允许用户根据需要调整封禁时间、尝试次数等参数,并且可以配置邮件通知等额外的动作。

2. Fail2Ban工作方式

  1. 监控日志文件Fail2Ban定期检查指定的日志文件,如SSH、HTTP、FTP等服务的日志文件,以寻找潜在的恶意活动。

  2. 应用正则表达式过滤:通过预定义的过滤规则(通常基于正则表达式),Fail2Ban分析日志文件中的条目,以识别出攻击模式,如多次登录失败。

  3. 匹配和记录:当日志中的条目匹配到过滤规则时,Fail2Ban会记录相关的信息,包括攻击者的IP地址和时间戳。

  4. 执行响应动作:一旦检测到攻击行为,Fail2Ban会根据配置执行相应的动作,最常见的是将攻击者的IP地址添加到防火墙规则中,暂时禁止其访问。

  5. 自动解封策略Fail2Ban还提供了自动解封功能,可以在一段时间后自动解除对IP地址的封锁,以避免误封禁合法用户。

  6. 配置灵活性:用户可以根据需要调整各种参数,如封禁时间、尝试次数阈值等,以及定义自定义的过滤规则和动作.

3. Fail2Ban的优点和缺点

  • Fail2Ban的优点:
  1. 自动化阻止恶意行为Fail2Ban可以自动检测到恶意登录尝试或其他攻击模式,并采取措施阻止攻击者的IP地址,减轻管理员的工作负担。
  2. 灵活配置:提供了丰富的配置选项,允许用户根据实际需要调整规则、封禁时间和阈值等。
  3. 支持多种服务:内置了多种过滤器,支持对SSH、HTTP、FTP等多种服务的日志进行监控和保护。
  4. 集成其他安全工具:可以与现有的安全工具(如防火墙)集成,提高整体的安全防护能力。
  5. 自动解封功能:在一定时间后自动解除对IP地址的封锁,避免误封禁合法用户。
  • Fail2Ban的缺点:
  1. 可能误封合法用户:在某些情况下,Fail2Ban可能会误判正常用户的行为,导致误封IP地址。
  2. 无法防御所有类型的攻击:对于一些高级的攻击行为,如分布式拒绝服务(DDoS)攻击,Fail2Ban可能无法提供有效的防御。
  3. 配置可能较为繁琐:需要用户自定义规则,对于不熟悉正则表达式和系统日志的用户来说,配置可能比较复杂。
  4. 依赖于日志分析Fail2Ban的工作原理基于对系统日志的分析,如果攻击者使用了不产生典型日志记录的手段,Fail2Ban可能无法检测到这些攻击。

4. 安装配置 Fail2Ban

#安装Fail2Ban
yum -y install epel-release.noarch
yum  -y install  fail2ban
#复制fail2ban的配置文件
cp  -rp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
#自定义ssh相关规则
vim  /etc/fail2ban/jail.d/sshd.local
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/secure
maxretry = 5
findtime = 1200
bantime = 86400
#启动服务
systemctl start fail2ban
#设置开机自启
systemctl enable fail2ban
#查询都有哪些IP地址触发规则
fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 3
|  |- Total failed:     57
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions|- Currently banned: 19|- Total banned:     19`- Banned IP list:   122.237.103.241 211.186.78.102 210.105.9.27 80.94.95.81 220.250.41.11 146.59.80.142 198.245.55.32 141.98.10.126 43.130.47.105 180.184.65.71 209.97.174.58 125.91.34.106 159.223.105.130 183.81.169.238 36.40.84.110 117.50.174.21 154.211.15.218 134.209.27.56 62.172.118.2#这款软件是通过iptables来做限制,可以验证一下
[root@localhost ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
f2b-sshd   tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     ctstate RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachableChain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:68Chain f2b-sshd (1 references)
target     prot opt source               destination
REJECT     all  --  161.35.184.153       0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  121.228.46.94        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  91.134.243.207       0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  159.203.2.142        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  89.208.104.147       0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  62.172.118.2         0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  125.91.34.106        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  122.237.103.241      0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  159.223.105.130      0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  210.105.9.27         0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  146.59.80.142        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  141.98.10.126        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  183.81.169.238       0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  117.50.174.21        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  36.40.84.110         0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  180.184.65.71        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  154.211.15.218       0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  134.209.27.56        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  43.130.47.105        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  198.245.55.32        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  220.250.41.11        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  80.94.95.81          0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  211.186.78.102       0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  209.97.174.58        0.0.0.0/0            reject-with icmp-port-unreachable
RETURN     all  --  0.0.0.0/0            0.0.0.0/0
  • 这里的配置意味着
    ● maxretry设置为5,表示在findtime时间窗口内(这里设置为20分钟),如果有超过5次登录失败,则触发封禁。
    ● bantime设置为86400秒(24小时),表示被封禁的IP地址将在24小时内无法访问SSH服务。

这篇关于基于Fail2Ban入侵防御软件预防通过ssh暴力破解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1122856

相关文章

软件设计师备考——计算机系统

学习内容源自「软件设计师」 上午题 #1 计算机系统_哔哩哔哩_bilibili 目录 1.1.1 计算机系统硬件基本组成 1.1.2 中央处理单元 1.CPU 的功能 1)运算器 2)控制器 RISC && CISC 流水线控制 存储器  Cache 中断 输入输出IO控制方式 程序查询方式 中断驱动方式 直接存储器方式(DMA)  ​编辑 总线 ​编辑

【STM32】SPI通信-软件与硬件读写SPI

SPI通信-软件与硬件读写SPI 软件SPI一、SPI通信协议1、SPI通信2、硬件电路3、移位示意图4、SPI时序基本单元(1)开始通信和结束通信(2)模式0---用的最多(3)模式1(4)模式2(5)模式3 5、SPI时序(1)写使能(2)指定地址写(3)指定地址读 二、W25Q64模块介绍1、W25Q64简介2、硬件电路3、W25Q64框图4、Flash操作注意事项软件SPI读写W2

免费也能高质量!2024年免费录屏软件深度对比评测

我公司因为客户覆盖面广的原因经常会开远程会议,有时候说的内容比较广需要引用多份的数据,我记录起来有一定难度,所以一般都用录屏工具来记录会议内容。这次我们来一起探索有什么免费录屏工具可以提高我们的工作效率吧。 1.福晰录屏大师 链接直达:https://www.foxitsoftware.cn/REC/  录屏软件录屏功能就是本职,这款录屏工具在录屏模式上提供了多种选项,可以选择屏幕录制、窗口

git ssh key相关

step1、进入.ssh文件夹   (windows下 下载git客户端)   cd ~/.ssh(windows mkdir ~/.ssh) step2、配置name和email git config --global user.name "你的名称"git config --global user.email "你的邮箱" step3、生成key ssh-keygen

HomeBank:开源免费的个人财务管理软件

在个人财务管理领域,找到一个既免费又开源的解决方案并非易事。HomeBank 正是这样一个项目,它不仅提供了强大的功能,还拥有一个活跃的社区,不断推动其发展和完善。 开源免费:HomeBank 是一个完全开源的项目,用户可以自由地使用、修改和分发。用户友好的界面:提供直观的图形用户界面,使得非技术用户也能轻松上手。数据导入支持:支持从 Quicken、Microsoft Money

PDF 软件如何帮助您编辑、转换和保护文件。

如何找到最好的 PDF 编辑器。 无论您是在为您的企业寻找更高效的 PDF 解决方案,还是尝试组织和编辑主文档,PDF 编辑器都可以在一个地方提供您需要的所有工具。市面上有很多 PDF 编辑器 — 在决定哪个最适合您时,请考虑这些因素。 1. 确定您的 PDF 文档软件需求。 不同的 PDF 文档软件程序可以具有不同的功能,因此在决定哪个是最适合您的 PDF 软件之前,请花点时间评估您的

梳理2024年,螺丝钉们爱用的3款剪辑软件

这年头,视频到处都是,就跟天上的星星一样数不清。不管你是公司里的新面孔,还是职场上的老狐狸,学会怎么剪视频,就好比找到了赢的秘诀。不管是给上司汇报工作,展示你的产品,还是自己搞点小视频记录生活,只要是剪辑得漂亮,肯定能一下子吸引大家的目光,让人记得你。咱们今天就来侃侃现在超火的三款视频剪辑工具,尤其是PR剪辑,你肯定听说过,这货在剪辑界可是大名鼎鼎,用它剪视频,既专业又麻利。 NO1. 福昕轻松

研究人员在RSA大会上演示利用恶意JPEG图片入侵企业内网

安全研究人员Marcus Murray在正在旧金山举行的RSA大会上公布了一种利用恶意JPEG图片入侵企业网络内部Windows服务器的新方法。  攻击流程及漏洞分析 最近,安全专家兼渗透测试员Marcus Murray发现了一种利用恶意JPEG图片来攻击Windows服务器的新方法,利用该方法还可以在目标网络中进行特权提升。几天前,在旧金山举行的RSA大会上,该Marcus现场展示了攻击流程,

秒变高手:玩转CentOS 7软件更换的方法大全

在 CentOS 7 中更换软件源可以通过以下步骤完成。更换源可以加快软件包的下载速度,特别是当默认源速度较慢时。以下是详细步骤: 前言 为了帮助您解决在使用CentOS 7安装不了软件速度慢的问题,我们推出了这份由浪浪云赞助的教程——“CentOS7如何更换软件源加快下载速度”。 浪浪云,以他们卓越的弹性计算、云存储和网络服务受到广泛好评,他们的支持和帮助使得我们可以将最前沿的技术知识分

在SSH的基础上使用jquery.uploadify.js上传文件

在SSH框架的基础上,使用jquery.uploadify.js实现文件的上传,之前搞了好几天,都上传不了, 在Action那边File接收到的总是为null, 为了这个还上网搜了好多相关的信息,但都不行,最后还是搜到一篇文章帮助到我了,希望能帮助到为之困扰的人。 jsp页面的关键代码: <link rel="stylesheet" type="text/css" href="${page