作者：京東物流 羅旅帆

現(xiàn)在服務(wù)器在網(wǎng)絡(luò)暴露一段時間就會有人不停的進行掃描各種端口，nginx的80，443，ssh的22等。進行嘗試滲透，并且現(xiàn)在有大量框架進行全自動掃描滲透。

為了最大化的阻止掃描，可以利用fail2ban這個框架來把頻繁掃描的源IP直接丟進黑名單。讓服務(wù)器在一定時間內(nèi)拒絕連接。

?

1.安裝fail2ban：

# Ubuntu sudo apt update && sudo apt install fail2ban

# CentOS yum install fail2ban

?

我們已經(jīng)完成了fail2ban的安裝, 接下來就是fail2ban的配置

2.配置fail2ban

首先使用vi或者vim打開fail2ban的規(guī)則配置文件

vi /etc/fail2ban/jail.conf

?

按i鍵插入，復(fù)制以下內(nèi)容：

[DEFAULT]
bantime  = 86400
maxretry = 5
findtime = 600
banaction = firewallcmd-allports
[sshd]
enabled  = true
filter   = sshd
logpath  = /var/log/secure
maxretry = 3

enable = ture filter =sshd # CentOS logpath = /var/log/secure # Ubuntu # logpath = /var/log/auth.log maxretry = 5 # 最大嘗試次數(shù) bantime = 86400 #封禁時間，單位s。-1為永久封禁

3.激活fail2ban

在配置完成后, 當(dāng)然是選擇激活它啦

對于CentOS7/8,Fedora

sudo systemctl restart fail2ban

對于Debian, Ubuntu或CentOS6:

sudo service fail2ban restart

如果是第一次啟動的話建議把命令中的restart換成start

CentOS7設(shè)置fail2ban自啟

systemctl enable fail2ban.service

4.檢驗fail2ban

如果要檢驗fail2ban有沒有正確啟動, 可以使用這個命令

sudo fail2ban-client ping

如果正確啟動的話fail2ban會以pong作為回應(yīng)(Server replied: pong), 其他情況就需要看看配置文件的格式正確以及是不是用start命令啟動fail2ban什么的…

如果要查看fail2ban目前啟用的規(guī)則的話

fail2ban-client status

查看某個規(guī)則下被封禁的次數(shù)以及ip(以[sshd]規(guī)則為例)

fail2ban-client status sshd

?

如果想看iptables的 ban策略生效狀態(tài)

可以通過

sudo iptables -L INPUT -v -n | less 

?

總結(jié)：

通過以上操作可以看到過去24小時內(nèi)一共被ban了 很多IP。如下圖所示，通過這個策略。可以大幅度緩解ssh 賬號密碼被暴力破解的進度

審核編輯 黃宇