自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

fail2ban防暴力破解介紹使用

作者:布魯
安全 數(shù)據(jù)安全
fail2ban可以監(jiān)視你的系統(tǒng)日志,然后匹配日志的錯(cuò)誤信息(正則式匹配)執(zhí)行相應(yīng)的屏蔽動(dòng)作,如:當(dāng)有人在試探你的SSH、SMTP、FTP密碼,只要達(dá)到你預(yù)設(shè)的次數(shù),fail2ban就會(huì)調(diào)用防火墻屏蔽這個(gè)IP,而且可以發(fā)送e-mail通知系統(tǒng)管理員,是一款很實(shí)用、很強(qiáng)大的軟件!

0x00 介紹

fail2ban可以監(jiān)視你的系統(tǒng)日志,然后匹配日志的錯(cuò)誤信息(正則式匹配)執(zhí)行相應(yīng)的屏蔽動(dòng)作(一般情況下是調(diào)用防火墻iptables屏蔽),如:當(dāng)有人在試探你的SSH、SMTP、FTP密碼,只要達(dá)到你預(yù)設(shè)的次數(shù),fail2ban就會(huì)調(diào)用防火墻屏蔽這個(gè)IP,而且可以發(fā)送e-mail通知系統(tǒng)管理員,是一款很實(shí)用、很強(qiáng)大的軟件!

fail2ban由python語(yǔ)言開發(fā),基于logwatch、gamin、iptables、tcp-wrapper、shorewall等。如果想要發(fā)送郵件通知道,那還需要安裝postfix或sendmail。

fail2ban在pycon2014中演講,是一個(gè)相對(duì)成熟的第三方軟件。附上大會(huì)ppt部分內(nèi)容:fail2ban-pycon2014.pdf。

百度盤:http://pan.baidu.com/s/1qWBHHBe

0x01安裝

1) apt-get 安裝

apt-get install fail2ban log watch gamin

2) yum安裝

yum install fail2ban logwatch gamin

3) 源代碼安裝

http://www.fail2ban.org/wiki/index.php/Downloads

目前有兩個(gè)版本:

stable    0.8.14 
beta       0.9.0

根據(jù)需要下載編譯安裝。

0x02 配置

安裝完成后配置文件在目錄/etc/fail2ban/中:

/etc/fail2ban/fail2ban.conf  #fail2ban的配置文件
/etc/fail2ban/jail.conf #阻擋設(shè)定文件
/etc/fail2ban/filter.d/ #具體過(guò)濾規(guī)則文件目錄 
/etc/fail2ban/action.d/ #具體過(guò)濾規(guī)則檢測(cè)到后采取相對(duì)應(yīng)措施的目錄

fail2ban默認(rèn)有許多已經(jīng)寫好的規(guī)則,如ssh、ftp、proftpd等常見應(yīng)用軟件的支持,只需要設(shè)置enable屬性為true即可啟動(dòng),這里就不闡述了。

0x03 監(jiān)控nginx日志

假設(shè)nginx默認(rèn)日志路徑為/var/log/nginx/access_log,需要防止黑客暴力破解HTTP FORM登陸,此登陸檢測(cè)鏈接為

http://test.com/login_check.do

根據(jù)分析正常登陸一般不超過(guò)三四次,并且登陸時(shí)間一般也不超過(guò)一分鐘;因此,規(guī)定檢測(cè)周期為1分鐘,最大嘗試登陸次數(shù)為10次;在規(guī)定時(shí)間內(nèi)超過(guò)指定次數(shù)則被認(rèn)為是黑客在嘗試暴力破解。

具體設(shè)置方法如下:

1) 首先在jail.conf文件下追加以下內(nèi)容:

[nginx]    ;規(guī)則名字
enabled = true ;是否戶用
port = http,https ;監(jiān)控端口
filter = nginx    ;需要過(guò)濾匹配規(guī)則
logpath = /var/log/nginx/access_log; 日志路徑
findtime =60    ;檢測(cè)周期 單位秒 以下一樣
bantime =300    ;iptable封禁IP時(shí)間
maxretry =10    ;最大嘗試次數(shù)
action = iptables[name=nginx, port=http, protocal=tcp] ;發(fā)現(xiàn)暴力破解采取iptalbes封禁IP的措施
sendmail[name=nginx, dest=my-email@xx.com]    ;發(fā)現(xiàn)暴力破解后采取sendmail發(fā)送郵件的措施,需要注意的是:iptables和sendmail必須對(duì)齊,要不然會(huì)發(fā)生錯(cuò)誤;不要問(wèn)我為什么會(huì)知道,我先哭會(huì)兒-_-!!!

2)然后創(chuàng)建 /etc/fail2ban/filter.d/nginx.conf文件,并添加以下內(nèi)容:

[Definition]
failregex =<HOST>.*-.*-.*POST.*/login_check.do.* HTTP\/1.*http://test.com.*$ ;需要匹配日志發(fā)現(xiàn)攻擊行為的正則,<HOST>為fail2ban內(nèi)置變量匹配IP,不可修改
ignoreregex =    ;需要忽略的正則

完成上述步驟就可以運(yùn)行命令/etc/init.d/fail2ban restart重啟了。查看iptables有fail2ban-nginx的規(guī)則和收到sendmail發(fā)送fail2ban已經(jīng)啟動(dòng)的郵件就說(shuō)明OK了。

不過(guò)運(yùn)維的同學(xué)可能知道,sendmail發(fā)送郵件延遲很多,并不好用,使用mutt代替sendmail是個(gè)不錯(cuò)的選擇。安裝mutt的過(guò)程就不在時(shí)闡述了,這里介紹我修改使用mutt發(fā)送action的配置文件。

1)首先創(chuàng)建一個(gè)/etc/fail2ban/action.d/mutt.conf文件,然后添加以下內(nèi)容:

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
#
[Definition]
# Option: actionstart
# Notes.: command executed once at the start of Fail2Ban.
# Values: CMD
#
actionstart = printf %%b "Hi,\n
The jail <name> has been started successfully.\n
Regards,\n
Fail2Ban"|mutt -s "[Fail2Ban] <name>: started on `uname -n`"<dest>
# Option: actionstop
# Notes.: command executed once at the end of Fail2Ban
# Values: CMD
#
actionstop = printf %%b "Hi,\n
The jail <name> has been stopped.\n
Regards,\n
Fail2Ban"|mutt -s "[Fail2Ban] <name>: stopped on `uname -n`"<dest>
# Option: actioncheck
# Notes.: command executed once before each actionban command
# Values: CMD
#
actioncheck =
# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: See jail.conf(5) man page
# Values: CMD
#
actionban = printf %%b "Hi,\n
The IP <ip> has just been banned by Fail2Ban after
<failures> attempts against <name>.\n
Regards,\n
Fail2Ban"|mutt -s "[Fail2Ban] <name>: banned <ip> from `uname -n`"<dest>
# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
# command is executed with Fail2Ban user rights.
# Tags: See jail.conf(5) man page
# Values: CMD
#
actionunban =
[Init]
# Default name of the chain
#
name = default
# Destination/Addressee of the mutt
#
dest = root

2)然后在jail.conf文件下添加以下內(nèi)容:

action = mutt[name=nginx, dest=my-email@xx.com]

重啟過(guò)后就可以使用mutt文件發(fā)送郵件了。以上很多名詞是筆者自己翻譯,可能表達(dá)的意思并不精確,請(qǐng)大牛們手下留情。有不對(duì)的地方歡迎指出,有興趣的同學(xué)也歡迎交流。

責(zé)任編輯:藍(lán)雨淚 來(lái)源: 烏云知識(shí)庫(kù)
fail2ban防暴力破解
相關(guān)推薦

2012-09-06 09:53:49

2015-03-17 09:50:00

2013-04-17 17:21:12

2018-01-31 19:00:32

2020-07-15 20:32:45

fail2banFirewallD系統(tǒng)運(yùn)維

2015-12-10 11:04:31

2015-01-06 09:03:18

2014-06-13 09:15:48

2009-05-20 11:30:21

2019-02-25 18:03:15

2023-09-11 07:17:30

2013-08-19 15:14:02

2013-05-14 10:12:13

2011-11-29 10:03:24

2013-06-08 10:41:51

2013-04-18 09:52:56

2022-08-06 13:04:27

LinuxSHH

2017-05-03 16:00:02

Linux數(shù)據(jù)安全服務(wù)器

2012-01-01 22:08:10

2011-04-02 09:34:38

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)