如何在 RHEL 8 / CentOS 8 上安装使用 Fail2Ban ?

每个 IT 运营团队的首要任务是确保服务器安全,不受未经授权的用户或恶意脚本的侵害。您可以应用许多解决方案来抵御攻击和破坏,其中就包括 Fail2ban 软件方案。

Fail2ban 是一种开源的入侵检测措施,可以减轻针对各种服务(例如 SSH 和 VSFTPD)的暴力攻击。它提供了包括 SSH 在内的一系列过滤器,您可以自定义这些过滤器来更新防火墙规则,并阻止未经授权的 SSH 登录尝试。

fail2ban 监控服务器日志文件,监测其中的任何入侵尝试,并在预定义次数的失败尝试后,在指定的持续时间内阻止用户的IP地址。用户的 IP 被放置在一个 jail 中,可以在 /etc/fail2ban/jail.conf 配置文件中设置、启用或禁用该 jail。它有助于保护您的 Linux 服务器免受未经授权的访问,更具体地说,免受僵尸网络和恶意脚本的访问。

jail 由以下几个关键要素组成:

  • 要分析的日志文件
  • 要应用在日志文件上的过滤器
  • 当过滤器匹配时要采取的操作
  • 用于详细说明匹配类型的其他参数,例如:maxtry (最大尝试) 和 bantime (禁止时间) 等。

在本教程中,我们将引导您在RHEL 8 / CentOS 8 上安装和配置 Fail2ban。

(1) 安装 EPEL 存储库

按如下方式安装 EPEL (Extra Package for Enterprise Linux) 包

For CentOS 8

$ sudo dnf install -y epel-release

For RHEL 8

$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm -y

(2) 安装 Fail2ban

要安装 Fail2ban,请运行下面的命令

$ sudo dnf install -y fail2ban

(3) 配置 Fail2ban

按照设计,fail2ban 将解析日志文件,并尝试匹配过滤器中指定的 failregex。过滤器会挑选出特定服务失败的身份验证尝试,例如,使用正则表达式 regex 匹配出 SSH 登录尝试。当日志条目中的最大次数达到最大值时,将触发一个动作。

默认情况下,发生3次身份验证失败后,用户将被禁止或被关进“jail”10分钟。这些参数可以很容易地在 /etc/fail2ban/jail.conf 文件中配置,该文件是全局配置文件。
所有重要的配置文件都位于/etc/fail2ban/目录下。

过滤器存放在 /etc/fail2ban/filter.d 目录下。有几十种过滤器用于各种服务,包括SSH、Webmin、postfix 等等。

/etc/fail2ban/jail.conf 是主配置文件。不建议直接修改此文件,配置很可能会在以后的分发更新中被覆盖或改进。

[

解决方法是在 /etc/fail2ban/jail.d 目录中创建一个监狱.local文件,并为要保护的所需服务添加自定义配置。

出于演示目的,我们将创建一个用于保护 SSH 连接的 jail 文件。

$ sudo vim /etc/fail2ban/jail.local

下面是示例配置文件内容:

[DEFAULT]
ignoreip = 192.168.2.105
bantime = 86400
findtime = 300
maxretry = 3
banaction = iptables-multiport
backend = systemd
[sshd]
enabled = true

让我们分解这些参数,看看它们代表什么。

  • ignoreip – 定义不禁止的 IP 地址或域名列表
  • bantime – 顾名思义,这指定以秒为单位禁止远程主机的持续时间
  • maxretry – 这是主机被阻止/禁止之前失败的登录尝试次数
  • findtime – maxtry 尝试后主机将被阻塞的持续时间(秒)
  • banaction –禁止的动作
  • backend – 用于获取日志文件的系统

我们的配置包含以下内容:

当一个 IP 地址在最近 5 分钟内有 3 次认证失败的记录时,该 IP 地址将被禁止 24 小时 (IP为192.168.2.105 的主机除外)

保存并退出配置文件。

(4) 开启 Fail2ban

配置好 SSH 的 jail 文件后,我们将启动并在系统启动时启用 fail2ban。

$ sudo systemctl start fail2ban
$ sudo systemctl enable fail2ban

要确认 fail2ban 的状态,执行下面的命令

$ sudo systemctl status fail2ban

我们可以观察到 fail2ban 按预期运行

现在我们继续,看看 Fail2ban 是如何工作的。

(4) Fail2ban 实战演练

现在让我们更进一步,看看 Fail2ban 的实战演练。为了监视被禁止的 IP 地址,fail2ban-client 实用程序派上了用场。例如,要获取 ssh jail 的状态,可以使用该命令

$ sudo fail2ban-client status sshd

目前,还没有禁止的 IP 条目,因为我们还没有远程登录到服务器。

我们将使用 putty SSH 客户端从一台 Windows PC 上登录,IP 与 jail.local 中指定的 IP 不同。

从输出中,我们可以清楚地看到我们无法访问服务器。当我们再次检查状态时,我们发现一个 IP 已经被禁止,如图所示。

如果需要将 IP 从禁用列表中删除,请执行以下操作解除禁用。

$ sudo fail2ban-client unban 192.168.2.101

要查看关于 fail2ban 规则和策略的更多信息,请访问 jail.conf 手册页

$ man jail.conf

我的开源项目

作者:鸠摩智首席音效师原文地址:https://segmentfault.com/a/1190000043289188

%s 个评论

要回复文章请先登录注册