使用fail2ban和FirewallD黑名单保驾护航你的系统
|
首先,让我们为不熟悉这些应用程序的人员介绍一些术语,以完成这项工作: fail2ban:一个守护进程,用于禁止发生多次认证错误的主机。fail2ban 将监控 SystemD 日志,以查找对任何已启用的“监狱jail”的失败的验证尝试。在达到指定失败次数后,它将添加一个防火墙规则,在配置的时间内阻止该特定 IP 地址。 FirewallD:一个带有 D-Bus 接口的防火墙守护进程,提供动态防火墙。除非你另行决定使用传统的 iptables,否则你已经在所有支持的 Fedora 和 CentOS 上安装了 FirewallD。 假定前提主机系统有一个互联网连接,并且要么是直接暴露在互联网上,要么是通过 DMZ(这两个都是非常糟糕的想法,除非你知道你在做什么),要么是有一个端口从路由器转发过来。 虽然大部分的内容可能适用于其他系统,但本文假设当前系统是 Fedora(31 及以上)或 RHEL/CentOS 8 版本。在 CentOS 上,你必须用 sudo dnf install epel-release 启用 Fedora EPEL 仓库。 安装与配置 Fail2Ban很有可能已经有某个 Firewalld 区已经允许 SSH 访问,但 sshd 服务本身默认没有启用。要手动启动它,并且不在启动时永久启用它: $ sudosystemctl start sshd 或者在系统启动时启用,并同时启动它: $ sudosystemctl enable --now sshd 下一步就是安装、配置、启用 fail2ban。和往常一样,安装可以通过命令行完成: $ sudo dnf install fail2ban 安装完毕后,下一步就是配置“监狱”(你要以设置的任何阈值监视并禁止的服务)。默认情况下,IP 会被禁止 1 小时(这其实不够长)。最好的做法是使用 *.local 文件覆盖系统默认值,而不是直接修改 *.config 文件。如果我们查看我的 jail.local,我们可以看到: #cat/etc/fail2ban/jail.local [DEFAULT]
#"bantime"is the number of seconds that a host is banned. bantime =1d
# A host is banned if it has generated "maxretry" during the last"findtime" findtime =1h
#"maxretry"is the number of failures before a host get banned. maxretry =5 换成通俗的语言讲,就是在过去一小时内尝试 5 次后,该 IP 将被封禁 1 天。对于多次被封的 IP,也可以选择增加封禁时间,但这是另一篇文章的主题。 下一步是配置“监狱”。在本教程中显示的是 sshd,但其他服务的步骤大致相同。在 /etc/fail2ban/jail.d 中创建一个配置文件。这是我的文件: #cat/etc/fail2ban/jail.d/sshd.local [sshd] enabled =true 就这么简单! 很多配置已经在为 Fedora 构建的软件包中处理了(提示:我是当前的维护者)。接下来启用并启动 fail2ban 服务: $ sudosystemctl enable --now fail2ban 希望没有立即出错,如果没有,请使用下面的命令检查 fail2ban 的状态: $ sudosystemctl status fail2ban (编辑:济南站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
