Linux 管理員的一個(gè)重要任務(wù)是保護(hù)服務(wù)器免受非法攻擊或訪問柱彻。 默認(rèn)情況下豪娜，Linux 系統(tǒng)帶有配置良好的防火墻，比如iptables哟楷、Uncomplicated Firewall（UFW）瘤载，ConfigServer Security Firewall（CSF）等，可以防止多種攻擊卖擅。

任何連接到互聯(lián)網(wǎng)的機(jī)器都是惡意攻擊的潛在目標(biāo)鸣奔。 有一個(gè)名為 Fail2Ban 的工具可用來緩解服務(wù)器上的非法訪問墨技。

1、什么是 Fail2Ban 挎狸？

Fail2Ban 是一款入侵防御軟件扣汪，可以保護(hù)服務(wù)器免受暴力攻擊。 它是用 Python 編程語言編寫的锨匆。 Fail2Ban 基于auth 日志文件工作崭别，默認(rèn)情況下它會(huì)掃描所有 auth 日志文件，如 /var/log/auth.log恐锣、/var/log/apache/access.log 等茅主，并禁止帶有惡意標(biāo)志的IP，比如密碼失敗太多土榴，尋找漏洞等等標(biāo)志诀姚。

通常，F(xiàn)ail2Ban 用于更新防火墻規(guī)則玷禽，用于在觸發(fā)安全策略條件的情況下與在指定的時(shí)間內(nèi)拒絕 IP 地址赫段。 它也會(huì)發(fā)送郵件通知。 Fail2Ban 為各種服務(wù)提供了許多過濾器论衍，如 ssh瑞佩、apache、nginx坯台、squid炬丸、named、mysql蜒蕾、nagios 等稠炬。

Fail2Ban 能夠降低錯(cuò)誤認(rèn)證嘗試的速度，但是它不能消除弱認(rèn)證帶來的風(fēng)險(xiǎn)咪啡。 這只是服務(wù)器防止暴力攻擊的安全手段之一首启。

2、如何在 Linux 上安裝 Fail2Ban

Fail2Ban 已經(jīng)與大部分 Linux 發(fā)行版打包在一起了撤摸，所以只需使用你的發(fā)行包版的包管理器來安裝它毅桃。

對(duì)于 Debian / Ubuntu，使用 APT-GET 命令或 APT 命令安裝准夷。

sudo apt install fail2ban

對(duì)于 Fedora钥飞，使用 DNF 命令安裝。

sudo dnf install fail2ban

對(duì)于 CentOS/RHEL衫嵌，啟用 EPEL 庫或 RPMForge 庫读宙，使用 YUM 命令安裝。
對(duì)于 Arch Linux楔绞，使用 Pacman 命令安裝结闸。

sudo pacman -S fail2ban

對(duì)于 openSUSE , 使用 Zypper命令安裝唇兑。

sudo zypper in fail2ban

3、如何配置 Fail2Ban 桦锄？

默認(rèn)情況下扎附，F(xiàn)ail2Ban 將所有配置文件保存在 /etc/fail2ban/ 目錄中。 主配置文件是 jail.conf察纯，它包含一組預(yù)定義的過濾器帕棉。 所以针肥，不要編輯該文件饼记，這是不可取的，因?yàn)橹灰行碌母挛空恚渲镁蜁?huì)重置為默認(rèn)值具则。

只需在同一目錄下創(chuàng)建一個(gè)名為 jail.local 的新配置文件，并根據(jù)您的意愿進(jìn)行修改具帮。

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

此時(shí)在使用 CenotOS 7.x 操作時(shí)出現(xiàn)一些錯(cuò)誤博肋，比如當(dāng)你啟動(dòng)后你會(huì)看到加載不到 httpd 服務(wù)的 error 日志等錯(cuò)誤。你可以將 jail.local 中沒有必要的配置給刪除蜂厅，因?yàn)槲募信渲昧艘恍┪覀儾恍枰姆?wù)》朔玻現(xiàn)在我們只以 sshd 服務(wù)舉例所以只需要保留 [DEFAUL]部分和 sshd 服務(wù)部分。再次重啟還會(huì)發(fā)現(xiàn)在 /var/log/message 日志文件中出現(xiàn) Jul 14 10:32:37 root84 systemd: start request repeated too quickly for fail2ban.service 錯(cuò)誤掘猿〔∮危可以使用以下命令進(jìn)行排查問題，在啟動(dòng) fail2ban 時(shí)打印出詳細(xì)日志信息：

[root@root84 fail2ban]# /usr/bin/fail2ban-client -v -v start

從輸出的信息中你可以看到他依然在加載 /etc/fail2ban/jail.conf 配置文件中的內(nèi)容并使用配置項(xiàng)稠通，最后所發(fā)生的 ERROR 依然是表示加載不到 httpd 服務(wù)的 error 日志文件衬衬。所以我們將 /etc/fail2ban/jail.conf 備份并刪除，只使用 /etc/fail2ban/jail.local 中的配置改橘。注意：這里所描述的錯(cuò)誤是因?yàn)槲以?/etc/fail2ban/jail.local 文件中將 [DEFAUL] 部分中的 enable 設(shè)置為 true 狀態(tài)滋尉，開啟了所有服務(wù)的 jail,在配置文件中的此配置項(xiàng)附近有描述信息：

[DEFAUL]
...
# "enabled" enables the jails.
#  By default all jails are disabled, and it should stay this way.
#  Enable only relevant to your setup jails in your .local or jail.d/*.conf
#
# true:  jail will be enabled and log files will get monitored for changes
# false: jail is not enabled
enabled = false
...

默認(rèn)情況下，大多數(shù)選項(xiàng)都已經(jīng)配置的很完美了飞主，如果要啟用對(duì)任何特定 IP 的訪問狮惜，則可以將 IP 地址添加到 ignoreip 區(qū)域，對(duì)于多個(gè) IP 的情況碌识，用空格隔開 IP 地址碾篡。

配置文件中的 DEFAULT 部分包含 Fail2Ban 遵循的基本規(guī)則集，您可以根據(jù)自己的意愿調(diào)整任何參數(shù)丸冕。

# nano /etc/fail2ban/jail.local
[DEFAULT]
ignoreip = 127.0.0.1/8 192.168.1.100/24
bantime = 600
findtime = 600
maxretry = 3
destemail = 2daygeek@gmail.com

• ignoreip：本部分允許我們列出 IP 地址列表耽梅，F(xiàn)ail2Ban 不會(huì)禁止與列表中的地址匹配的主機(jī)
• bantime：主機(jī)被禁止的秒數(shù)
• findtime：如果在最近 findtime 秒期間已經(jīng)發(fā)生了 maxretry 次重試，則主機(jī)會(huì)被禁止
• maxretry：是主機(jī)被禁止之前的失敗次數(shù)

4胖烛、如何配置服務(wù)眼姐？

Fail2Ban 帶有一組預(yù)定義的過濾器诅迷，用于各種服務(wù)，如 ssh众旗、apache罢杉、nginx、squid贡歧、named滩租、mysql、nagios 等利朵。 我們不希望對(duì)配置文件進(jìn)行任何更改律想，只需在服務(wù)區(qū)域中添加 enabled = true 這一行就可以啟用任何服務(wù)。 禁用服務(wù)時(shí)將 true 改為 false 即可绍弟。

# SSH servers
[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

• enabled： 確定服務(wù)是打開還是關(guān)閉技即。
• port：指明特定的服務(wù)。 如果使用默認(rèn)端口樟遣，則服務(wù)名稱可以放在這里而叼。 如果使用非傳統(tǒng)端口，則應(yīng)該是端口號(hào)豹悬。
• logpath：提供服務(wù)日志的位置
• backend：指定用于獲取文件修改的后端葵陵。

5、重啟 Fail2Ban

[For SysVinit Systems]
# service fail2ban restart
[For systemd Systems]
# systemctl restart fail2ban.service

6瞻佛、驗(yàn)證 Fail2Ban iptables 規(guī)則

你可以使用下面的命令來確認(rèn)是否在防火墻中成功添加了Fail2Ban iptables 規(guī)則脱篙。

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-apache-auth tcp -- anywhere anywhere multiport dports http,https
f2b-sshd tcp -- anywhere anywhere multiport dports 1234
ACCEPT tcp -- anywhere anywhere tcp dpt:1234
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain f2b-apache-auth (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain f2b-sshd (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

CentOS 7.X

[root@root84 fail2ban]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
f2b-sshd-ddos  tcp  --  anywhere             anywhere             multiport dports ssh
f2b-sshd   tcp  --  anywhere             anywhere             multiport dports ssh
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
INPUT_direct  all  --  anywhere             anywhere            
INPUT_ZONES_SOURCE  all  --  anywhere             anywhere            
INPUT_ZONES  all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

7、如何測試 Fail2Ban 涤久？

使用 sshd 為例：使用一臺(tái)服務(wù)器（表示為A）鏈接設(shè)置好并開啟 Fail2Ban 的服務(wù)器（表示為B）涡尘，在多次鏈接失敗之后 B服務(wù)器 的 Fail2Ban 將動(dòng)態(tài)更改防火墻規(guī)則禁止 A服務(wù)器 訪問。

Last login: Sun Jul 14 22:17:16 on ttys001
jinxiaozhang@YDdeMacBook-Pro:~$ ssh root@192.168.0.84
root@192.168.0.84's password: 
Permission denied, please try again.
root@192.168.0.84's password: 
asdfPermission denied, please try again.
root@192.168.0.84's password: 
root@192.168.0.84: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
jinxiaozhang@YDdeMacBook-Pro:~$ ssh root@192.168.0.84
root@192.168.0.84's password: 
Permission denied, please try again.
root@192.168.0.84's password: 


asdf
^C
jinxiaozhang@YDdeMacBook-Pro:~$ 
jinxiaozhang@YDdeMacBook-Pro:~$ telnet 192.168.0.84 22
Trying 192.168.0.84...
telnet: connect to address 192.168.0.84: Connection refused
telnet: Unable to connect to remote host
jinxiaozhang@YDdeMacBook-Pro:~$

查看 Fail2Ban 的日志

2019-07-14 10:55:12,096 fail2ban.filter         [3835]: INFO    [sshd] Found 192.168.0.212
2019-07-14 10:55:13,998 fail2ban.filter         [3835]: INFO    [sshd] Found 192.168.0.212
2019-07-14 10:55:17,802 fail2ban.filter         [3835]: INFO    [sshd] Found 192.168.0.212
2019-07-14 10:55:22,652 fail2ban.filter         [3835]: INFO    [sshd] Found 192.168.0.212
2019-07-14 10:55:24,926 fail2ban.filter         [3835]: INFO    [sshd] Found 192.168.0.212
2019-07-14 10:55:25,150 fail2ban.actions        [3835]: NOTICE  [sshd] Ban 192.168.0.212

當(dāng)經(jīng)過我們?cè)O(shè)置的 bantime 配置項(xiàng)的秒數(shù)之后將開啟 B服務(wù)器對(duì) A服務(wù)器 ssh 的訪問响迂。

8考抄、Fail2Ban 的一些使用操作

查看啟用的監(jiān)獄列表，請(qǐng)運(yùn)行以下命令蔗彤。

fail2ban-client status

通過運(yùn)行以下命令來獲取禁止的 IP 地址川梅。

fail2ban-client status ssh

要從 Fail2Ban 中刪除禁止的 IP 地址，請(qǐng)運(yùn)行以下命令然遏。

fail2ban-client set ssh unbanip 192.168.0.254

摘抄于 linux.cn 并使用 CentOS 7.X 通過實(shí)際測試贫途，添加其他內(nèi)容。