当前位置：首页 > news >正文

使用fail2ban保护系统一例(ssh)

news 来源：原创 2024/5/3 20:04:51

先来唉叹一下，每次查看LINUX网关服务器的安全日志时，就会看到N长的登陆失败的IP。很显然有人在做“好事”。那如何来防范，或是减少这种烦心的事情呢？

       呵呵，那你就使用fail2ban吧！它的工作原理就是通过比对配置文件里一些事先定义的参数（如对SSH的使用），当一个行为符合这些参数规则且达到一定的次数时，就会被fail2ban阻挡（结合iptables,但本文中，不用配置iptables）。fail2ban的官方网址是 [url]http://fail2ban.sourceforge.net[/url]。 [url]http://www.fail2ban.org/wiki/index.php/HOWTOs[/url] 各位需要详细的了解的话，就请前往。

       本文要介绍的是如何让SSH登陆一台机器，连续三次不成功后，被阻挡600秒的例子。
      官网上有TAR包。由于我自已比较懒汉，所以就直接下载了fail2ban-0.6.1-2jik.noarch.rpm.

一、安装环境：RedHat AS5 + fail2ban-0.6.1-2jik.noarch.rpm
                             fail2ban所在机器IP为 192.168.1.1

二、安装及简要配置：
       1、如下图，运行：rpm -Uvh fail2ban-0.6.1-2jik.noarch.rpm
                       同时，图中还显示了内核版本号。

         2、安装好后，配置文件会存在于/etc下面，名字为fail2ban.conf 所有的全局配置以及针对服务的配置均集中在此文件中。与TAR编译有所有不同。
        下图中就是显示的全局配置，也就是主配置的截图，其中maxfailures = 5是说明比对五次不同服务的参数均相同后，拒绝同样的访问600秒时间。

             下图是本文的正角色。SSH的配置截图，可以看到最下面三句话。这就是fail2ban要做的事情。这里没有做任何改。当然整个配置文件中也提到了apache ftp等。请各位自行研究学习。

         3、OK，我对整个fail2ban.conf文件只是改变了原来的maxfailures = 5 为3.其它的不变。此时，要说明的是，采用此方法安装的fail2ban，会自动安装成服务，且系统启动时自启动，当然你可以使用 service  fail2ban  {start|stop|status|restart|condrestart}来进行相应的操作。这里，使用service fail2ban start。开启此服务。

三、测试安装效果：
       在另外一台机器192.168.1.3 上ssh root@192.168.1.1 连续输错3次密码后，再使用此命令时，就不会出现提示输入密码了。且在服务器上查看日志cat /var/log/fail2ban.log。可以看到deny的记录。