本文主要是介绍基于Fail2Ban入侵防御软件预防通过ssh暴力破解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
1. Fail2Ban入侵防御软件介绍
Fail2Ban
是一款开源的入侵防御软件,它通过自动分析系统日志文件来识别恶意的登录尝试(如暴力破解攻击),并能够动态更新防火墙(iptables
)规则来暂时禁止这些攻击源的IP地址。Fail2Ban
使用Python
编写,能够在支持POSIX
的系统上运行,如Linux
和其他类Unix
系统。它支持多种服务,如SSH、Apache、mysql、nginx、FTP
等,并且可以通过正则表达式来定制匹配规则,以适应不同的日志格式和攻击模式。Fail2Ban
的配置灵活,允许用户根据需要调整封禁时间、尝试次数等参数,并且可以配置邮件通知等额外的动作。
2. Fail2Ban工作方式
-
监控日志文件:
Fail2Ban
定期检查指定的日志文件,如SSH、HTTP、FTP
等服务的日志文件,以寻找潜在的恶意活动。 -
应用正则表达式过滤:通过预定义的过滤规则(通常基于正则表达式),Fail2Ban分析日志文件中的条目,以识别出攻击模式,如多次登录失败。
-
匹配和记录:当日志中的条目匹配到过滤规则时,
Fail2Ban
会记录相关的信息,包括攻击者的IP地址和时间戳。 -
执行响应动作:一旦检测到攻击行为,
Fail2Ban
会根据配置执行相应的动作,最常见的是将攻击者的IP地址添加到防火墙规则中,暂时禁止其访问。 -
自动解封策略:
Fail2Ban
还提供了自动解封功能,可以在一段时间后自动解除对IP地址的封锁,以避免误封禁合法用户。 -
配置灵活性:用户可以根据需要调整各种参数,如封禁时间、尝试次数阈值等,以及定义自定义的过滤规则和动作.
3. Fail2Ban的优点和缺点
Fail2Ban
的优点:
- 自动化阻止恶意行为:
Fail2Ban
可以自动检测到恶意登录尝试或其他攻击模式,并采取措施阻止攻击者的IP地址,减轻管理员的工作负担。 - 灵活配置:提供了丰富的配置选项,允许用户根据实际需要调整规则、封禁时间和阈值等。
- 支持多种服务:内置了多种过滤器,支持对
SSH、HTTP、FTP
等多种服务的日志进行监控和保护。 - 集成其他安全工具:可以与现有的安全工具(如防火墙)集成,提高整体的安全防护能力。
- 自动解封功能:在一定时间后自动解除对IP地址的封锁,避免误封禁合法用户。
Fail2Ban
的缺点:
- 可能误封合法用户:在某些情况下,
Fail2Ban
可能会误判正常用户的行为,导致误封IP地址。 - 无法防御所有类型的攻击:对于一些高级的攻击行为,如分布式拒绝服务(
DDoS
)攻击,Fail2Ban
可能无法提供有效的防御。 - 配置可能较为繁琐:需要用户自定义规则,对于不熟悉正则表达式和系统日志的用户来说,配置可能比较复杂。
- 依赖于日志分析:
Fail2Ban
的工作原理基于对系统日志的分析,如果攻击者使用了不产生典型日志记录的手段,Fail2Ban
可能无法检测到这些攻击。
4. 安装配置 Fail2Ban
#安装Fail2Ban
yum -y install epel-release.noarch
yum -y install fail2ban
#复制fail2ban的配置文件
cp -rp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
#自定义ssh相关规则
vim /etc/fail2ban/jail.d/sshd.local
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/secure
maxretry = 5
findtime = 1200
bantime = 86400
#启动服务
systemctl start fail2ban
#设置开机自启
systemctl enable fail2ban
#查询都有哪些IP地址触发规则
fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 3
| |- Total failed: 57
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions|- Currently banned: 19|- Total banned: 19`- Banned IP list: 122.237.103.241 211.186.78.102 210.105.9.27 80.94.95.81 220.250.41.11 146.59.80.142 198.245.55.32 141.98.10.126 43.130.47.105 180.184.65.71 209.97.174.58 125.91.34.106 159.223.105.130 183.81.169.238 36.40.84.110 117.50.174.21 154.211.15.218 134.209.27.56 62.172.118.2#这款软件是通过iptables来做限制,可以验证一下
[root@localhost ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-sshd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 ctstate RELATED,ESTABLISHED
ACCEPT all -- 192.168.122.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachableChain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:68Chain f2b-sshd (1 references)
target prot opt source destination
REJECT all -- 161.35.184.153 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 121.228.46.94 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 91.134.243.207 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 159.203.2.142 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 89.208.104.147 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 62.172.118.2 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 125.91.34.106 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 122.237.103.241 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 159.223.105.130 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 210.105.9.27 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 146.59.80.142 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 141.98.10.126 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 183.81.169.238 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 117.50.174.21 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 36.40.84.110 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 180.184.65.71 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 154.211.15.218 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 134.209.27.56 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 43.130.47.105 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 198.245.55.32 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 220.250.41.11 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 80.94.95.81 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 211.186.78.102 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 209.97.174.58 0.0.0.0/0 reject-with icmp-port-unreachable
RETURN all -- 0.0.0.0/0 0.0.0.0/0
- 这里的配置意味着:
● maxretry设置为5,表示在findtime时间窗口内(这里设置为20分钟),如果有超过5次登录失败,则触发封禁。
● bantime设置为86400秒(24小时),表示被封禁的IP地址将在24小时内无法访问SSH服务。
这篇关于基于Fail2Ban入侵防御软件预防通过ssh暴力破解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!