LINUX下使用fail2ban保护系统一例(ssh)

先来唉叹一下，每次查看LINUX网关服务器的安全日志时，就会看到N长的登陆失败的IP。很显然有人在做“好事”。那如何来防范，或是减少这种烦心的事情呢？IXPUB技术博客6D'h:O.Blx
n
           
7Ei!Z?1U7~0
C Q8V@ s9t}-X
U0        呵呵，那你就使用fail2ban吧！它的工作原理就是通过比对配置文件里一些事先定义的参数（如对SSH的使用），当一个行为符合这些参数规则且达到一定的次数时，就会被fail2ban阻挡（结合iptables,但本文中，不用配置iptables）。fail2ban的官方网址是http://fail2ban.sourceforge.net。http://www.fail2ban.org/wiki/index.php/HOWTOs 各位需要详细的了解的话，就请前往。IXPUB技术博客/?XA{`L:]:W

T-N})c/}6A0       本文要介绍的是如何让SSH登陆一台机器，连续三次不成功后，被阻挡600秒的例子。IXPUB技术博客/i3kkR0Le c
      官网上有TAR包。由于我自已比较懒汉，所以就直接下载了fail2ban-0.6.1-2jik.noarch.rpm.IXPUB技术博客X6`e X7t,x4f+[
IXPUB技术博客|t/Y/A2PhDI
一、安装环境：RedHat AS5 + fail2ban-0.6.1-2jik.noarch.rpmIXPUB技术博客1T7B0rV.kapf#E
                             fail2ban所在机器IP为 192.168.1.1
Q*J6p'~5q V2e:G0
1P|k|ot0 二、安装及简要配置：
W5U:IC Dg@4H0        1、如下图，运行：rpm -Uvh fail2ban-0.6.1-2jik.noarch.rpmIXPUB技术博客]Rp)j4ZM a'}Y
                       同时，图中还显示了内核版本号。IXPUB技术博客2zF;BO7fj H/t,~
        
4f1enr&Z.v/V0         
\#G2P4aM1y"j(o0          2、安装好后，配置文件会存在于/etc下面，名字为fail2ban.conf 所有的全局配置以及针对服务的配置均集中在此文件中。与TAR编译有所有不同。IXPUB技术博客n%~F2R"@(l3]
Q
        下图中就是显示的全局配置，也就是主配置的截图，其中maxfailures = 5是说明比对五次不同服务的参数均相同后，拒绝同样的访问600秒时间。
"[:?6j g_0
(Jl'Q@#@S5`0               IXPUB技术博客#d5hz8Xt3K Si](d5Z

:fy B U-a5l0              下图是本文的正角色。SSH的配置截图，可以看到最下面三句话。这就是fail2ban要做的事情。这里没有做任何改。当然整个配置文件中也提到了apache ftp等。请各位自行研究学习。IXPUB技术博客
~F#N;~2R\W:~!\v
   
2w6Hm(b:}R4HD9J[0                   
B'Y$`4l)M1S0
c(`W8hAK0k4Fv0          3、OK，我对整个fail2ban.conf文件只是改变了原来的maxfailures = 5 为3.其它的不变。此时，要说明的是，采用此方法安装的fail2ban，会自动安装成服务，且系统启动时自启动，当然你可以使用 service  fail2ban  {start|stop|status|restart|condrestart}来进行相应的操作。这里，使用service fail2ban start。开启此服务。
DKk(J2g
V.t'e&k0    
1Az5wE!X YP~0p0 三、测试安装效果：
|:zessH2ee0        在另外一台机器192.168.1.3 上ssh root@192.168.1.1 连续输错3次密码后，再使用此命令时，就不会出现提示输入密码了。且在服务器上查看日志cat /var/log/fail2ban.log。可以看到deny的记录。IXPUB技术博客 C e&A+xl
        
U%jE0~Xq.D0             IXPUB技术博客ub,L0V9Vr

G2`5b+o|1e y0 [ 本帖最后由 rickyfang 于 2008-1-7 14:33 编辑 ]