主动式防火墙fail2ban的安装与配置

思考的牛

Linux、网络和安全服务器、网络和安全对于一个成熟的网站来说，每天没有受到几次攻击是说不过去的。


主动式防火墙fail2ban


之前我写过一个shell script，实现过“主动式防火墙”，即从访问特征中找到潜在的威胁，通过iptables防火墙直接deny。大致原理也很简单：


cat 日志，并通过awk从日志中分离出来源ip


通过sort + uniq -c 对IP和访问数量进行统计


获取访问量最高的几个来源，一旦达到阀值启动iptables策略进行封堵。


这样一个脚本只要定期通过cron服务调用就可以实现主动防火墙的效果。但时间一长，这个方法的弊端就体现出来，首先是不够灵活，对于时间的粒度调整和黑白名单的设置上就很麻烦;其次是这种方法仅能针对某一种服务，例如apache的80号，对于类似全端口扫描之类的联合攻击反而起不到应有的作用。


本来我打算用python写一个综合的入侵日志分析+iptables调用框架，没想到确实有先人已经早我很久实现了，这就是本文要介绍的fail2ban。


安装fail2ban


还是ubuntu，apt库中就有这个项目apt-get install fail2ban


service fail2ban start 启动这个服务。


如果确实需要源码编译，可以到该项目的主页下载源码，安装过程更接近于python扩展的安装。需要说明的是fail2ban是基于gamin服务框架的，编译时需要安装python-gamin的支持库。


配置服务


apt方式安装后，/etc/fail2ban目录下有几个配置文件 fail2ban.conf 主要是定义了服务器的日志和监听端口什么的，可以不去理会，直接打开jail.conf


[DEFAULT]为默认的配置配置参数很多，主要介绍几个常用的吧：


ignoreip = 127.0.0.1/8 白名单地址，支持网段，多个地址之间用空格隔开。此地址段的地址不会被封堵。


bantime = 600 封堵时间，单位是秒


maxretry = 3 个人觉得这个配置有点误导，其实是过滤器(后面说)过滤出来的日志中符合规则需要封堵的次数。


我们用默认的[ssh]服务来介绍针对于某一个服务的配置：


enabled = true 是否启用，没什么好说的


port = ssh 封堵端口，支持端口号和协议名两种方式，多个端口用逗号隔开


filter = sshd 过滤器名称，默认的过滤器在/etc/fail2ban/filter.d目录下，以.conf结尾，本例中针对/etc/fail2ban/filter.d/sshd.conf


logpath = /var/log/auth.log 日志路径


maxretry = 6 最大重试次数，同上


过滤器的配置其实很简单，需要懂得使用正则表达式来进行日志过滤，


failregex = reject: RCPT from (.*)[]: 554 过滤的正则表达式，可以通过多行表示多个规则。


fail2ban还有一个客户端工具叫做 fail2ban-client ，可以通过它完成整个fail2ban的配置，相对来说比较简单，这里也就不累述了。


其他


个人觉得这个fail2ban是很方便的一个工具，几乎不需要太多的配置。可能有的人需要通过程序端，例如php进行防火墙的操作，正如我现在所做的一样，程序会定期将IP写入一个文件中，通过过滤器直接取出ip进行封堵即可。


作者：开源小站