本文主要介紹一下CentOS7下Fail2ban安裝以及如何和iptables聯動來阻止惡意掃描和密碼猜測等惡意攻擊行為。
從CentOS7開始,官方的標准防火牆設置軟件從iptables變更為firewalld。 為了使Fail2ban與iptables聯動,需禁用自帶的firewalld服務,同時安裝iptables服務。
關於Fail2ban
-
Fail2ban可以監視你的系統日志,然后匹配日志的錯誤信息(正則式匹配)執行相應的屏蔽動作(一般情況下是調用防火牆屏蔽),如:當有人在試探你的HTTP、SSH、SMTP、FTP密碼,只要達到你預設的次數,fail2ban就會調用防火牆屏蔽這個IP,而且可以發送e-mail通知系統管理員,是一款很實用、很強大的軟件!
-
Fail2ban由python語言開發,基於logwatch、gamin、iptables、tcp-wrapper、shorewall等。如果想要發送郵件通知道,那還需要安裝postfix或sendmail。
-
在外網環境下,有很多的惡意掃描和密碼猜測等惡意攻擊行為,使用Fail2ban配合iptables,實現動態防火牆是一個很好的解決方案。
安裝Fail2ban
首先需要到Fail2ban官網下載程序源碼包,本文中通過穩定版Fail2ban-0.8.14做演示。
wget https://codeload.github.com/fail2ban/fail2ban/tar.gz/0.8.14 成功下載之后,解壓源碼包並進行安裝。
tar -xf 0.8.14.tar.gz
cd fail2ban-0.8.14
python setup.py install
安裝完成后要手動生成一下程序的啟動腳本。
cp files/redhat-initd /etc/init.d/fail2ban chkconfig --add fail2ban 使用下列命令檢查Fail2ban是否加入開機啟動項。結果如下圖所示。
chkconfig --list fail2ban 
安裝完成后程序文件都是保存在/etc/fail2ban目錄下,目錄結構如下圖所示。
其中jail.conf為主配置文件,相關的正則匹配規則位於filter.d目錄,其它目錄/文件一般很少用到,如果需要詳細了解可自行搜索。
配置Fail2ban
聯動iptables
新建jail.local來覆蓋Fail2ban在jail.conf的默認配置。
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
vim /etc/fail2ban/jail.local
對jail.conf做以下兩種修改。
-
防止SSH密碼爆破
[ssh-iptables]模塊的配置修改如下。其中,port應按照實際情況填寫。
[ssh-iptables] enabled = true filter = sshd action = iptables[name=SSH, port=22, protocol=tcp] logpath = /var/log/secure maxretry = 3 findtime = 300 -
阻止惡意掃描
新增[nginx-dir-scan]模塊,配置信息如下。此處,port和logpath應按照實際情況填寫。
[nginx-dir-scan] enabled = true filter = nginx-dir-scan action = iptables[name=nginx-dir-scan, port=443, protocol=tcp] logpath = /path/to/nginx/access.log maxretry = 1 bantime = 172800 findtime = 300然后在filter.d目錄下新建nginx-dir-scan.conf。
cp /etc/fail2ban/filter.d/nginx-http-auth.conf /etc/fail2ban/filter.d/nginx-dir-scan.conf vim /etc/fail2ban/filter.d/nginx-dir-scan.conf對nginx-dir-scan.conf進行修改,具體配置信息如下。
[Definition] failregex = <HOST> -.*- .*Mozilla/4.0* .* .*$ ignoreregex =此處的正則匹配規則是根據nginx的訪問日志進行撰寫,不同的惡意掃描有不同的日志特征。
本文采用此規則是因為在特殊的應用場景下有絕大的把握可以肯定Mozilla/4.0是一些老舊的數據采集軟件使用的UA,所以就針對其做了屏蔽。不可否認Mozilla/4.0 這樣的客戶端雖然是少數,但仍舊存在。因此,此規則並不適用於任何情況。
使用如下命令,可以測試正則規則的有效性。
fail2ban-regex /path/to/nginx/access.log /etc/fail2ban/filter.d/nginx-dir-scan.confFail2ban已經內置很多匹配規則,位於filter.d目錄下,包含了常見的SSH/FTP/Nginx/Apache等日志匹配,如果都還無法滿足需求,也可以自行新建規則來匹配異常IP。總之,使用Fail2ban+iptables來阻止惡意IP是行之有效的辦法,可極大提高服務器安全。
變更iptables封禁策略
Fail2ban的默認iptables封禁策略為 REJECT --reject-with icmp-port-unreachable,需要變更iptables封禁策略為DROP。
在/etc/fail2ban/action.d/目錄下新建文件iptables-blocktype.local。
cd /etc/fail2ban/action.d/
cp iptables-blocktype.conf iptables-blocktype.local
vim iptables-blocktype.local
修改內容如下:
[INCLUDES] after = iptables-blocktype.local [Init] blocktype = DROP 最后,別忘記重啟fail2ban使其生效。
systemctl restart fail2ban
Fail2ban常用命令
啟動Fail2ban。
systemctl start fail2ban
停止Fail2ban。
systemctl stop fail2ban
開機啟動Fail2ban。
systemctl enable fail2ban
查看被ban IP,其中ssh-iptables為名稱,比如上面的[ssh-iptables]和[nginx-dir-scan]。
fail2ban-client status ssh-iptables
添加白名單。
fail2ban-client set ssh-iptables addignoreip IP地址
刪除白名單。
fail2ban-client set ssh-iptables delignoreip IP地址
查看被禁止的IP地址。
iptables -L -n