技術文章 » CentOS8下安裝設定Fail2ban

CentOS8下安裝設定Fail2ban

2020-08-12 18:52:18

Fail2ban可以監視你的系統日誌,然後匹配日誌的錯誤資訊(正則式匹配)執行相應的遮蔽動作(一般情況下是呼叫防火牆遮蔽),如:當有人在試探你的HTTP、SSH、SMTP、FTP密碼,只要達到你預設的次數,fail2ban就會呼叫防火牆遮蔽這個IP,而且可以發送e-mail通知系統管理員,是一款很實用、很強大的軟體!
Fail2ban由python語言開發,基於logwatch、gamin、iptables、tcp-wrapper、shorewall等。如果想要發送郵件通知道,那還需要安裝postfix或sendmail。
在外網環境下,有很多的惡意掃描和密碼猜測等惡意攻擊行爲,使用Fail2ban配合iptables,實現動態防火牆是一個很好的解決方案。
安裝Fail2ban
yum install -y  https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
yam install fail2ban
設定Fail2ban
聯動iptables
新建jail.local來覆蓋Fail2ban在jail.conf的預設設定。
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
vim /etc/fail2ban/jail.local
對jail.conf做以下兩種修改。
1.    防止SSH密碼爆破
[ssh-iptables]模組的設定修改如下。其中,port應按照實際情況填寫。
 [ssh-iptables]

 enabled  = true
 filter   = sshd
 action   = iptables[name=SSH, port=22, protocol=tcp]
 logpath  = /var/log/secure
 maxretry = 3
 findtime  = 300
2.    阻止惡意掃描
新增[nginx-dir-scan]模組,設定資訊如下。此處,port和logpath應按照實際情況填寫。
 [nginx-dir-scan]

 enabled = true
 filter = nginx-dir-scan
 action   = iptables[name=nginx-dir-scan, port=443, protocol=tcp]
 logpath = /path/to/nginx/access.log
 maxretry = 1
 bantime = 172800
 findtime  = 300
然後在filter.d目錄下新建nginx-dir-scan.conf。
cp /etc/fail2ban/filter.d/nginx-http-auth.conf /etc/fail2ban/filter.d/nginx-dir-scan.conf
vim /etc/fail2ban/filter.d/nginx-dir-scan.conf
對nginx-dir-scan.conf進行修改,具體設定資訊如下。
 [Definition]

 failregex = <HOST> -.*- .*Mozilla/4.0* .* .*$
 ignoreregex =
此處的正則匹配規則是根據nginx的存取日誌進行撰寫,不同的惡意掃描有不同的日誌特徵。
本文採用此規則是因爲在特殊的應用場景下有絕大的把握可以肯定Mozilla/4.0是一些老舊的數據採集軟體使用的UA,所以就針對其做了遮蔽。不可否認Mozilla/4.0 這樣的用戶端雖然是少數,但仍舊存在。因此,此規則並不適用於任何情況。
使用如下命令,可以測試正則規則的有效性。
fail2ban-regex /path/to/nginx/access.log /etc/fail2ban/filter.d/nginx-dir-scan.conf
Fail2ban已經內建很多匹配規則,位於filter.d目錄下,包含了常見的SSH/FTP/Nginx/Apache等日誌匹配,如果都還無法滿足需求,也可以自行新建規則來匹配異常IP。總之,使用Fail2ban+iptables來阻止惡意IP是行之有效的辦法,可極大提高伺服器安全。
變更iptables封禁策略
Fail2ban的預設iptables封禁策略爲 REJECT --reject-with icmp-port-unreachable,需要變更iptables封禁策略爲DROP。
在/etc/fail2ban/action.d/目錄下新建檔案iptables-blocktype.local。
cd /etc/fail2ban/action.d/
cp iptables-blocktype.conf iptables-blocktype.local
vim iptables-blocktype.local
修改內容如下:
[INCLUDES]

after = iptables-blocktype.local

[Init]

blocktype = DROP
最後,別忘記重新啓動fail2ban使其生效。
systemctl restart fail2ban
Fail2ban常用命令
啓動Fail2ban。
systemctl start fail2ban
停止Fail2ban。
systemctl stop fail2ban
開機啓動Fail2ban。
systemctl enable fail2ban
檢視被ban IP,其中ssh-iptables爲名稱,比如上面的[ssh-iptables]和[nginx-dir-scan]。
fail2ban-client status ssh-iptables
新增白名單。
fail2ban-client set ssh-iptables addignoreip IP地址 
刪除白名單。
fail2ban-client set ssh-iptables delignoreip IP地址
檢視被禁止的IP地址。
iptables -L -n