Fail2ban即可以用系统自带的防火墙,如Linux的iptables或FreeBSD的ipfw,又可以换用tcpd,此外还可以扩展到其它网络服务,目前我主要使用在监控22端口,以及 /var/log/secure日志,主要是那些非法访问的日志,当发现某个IP在一个定义的时间段内,尝试SSH密码失败达到一个定义的次数,则利用 LINUX的iptables阻止改IP一个定义的时间段,当然,也可以无期限的阻止。
下载地址http://fail2ban.sourceforge.net/,在download中选择适合自己操作系统的版本下载,我选择的是REDHAT版本,该系统下软件没有部分其它版本高,不过没关系,已经完全满足我们的需求。
下载fail2ban-0.6.2-1brn.src.rpm,由于0.6.1版本有时间判断上的BUG,并且使用源代码重新编译可以更加的和实际系统环境配合,达到最好的性能,所以……选择的这个版本的源代码包。
rpmbuild ——rebuild fail2ban-0.6.2-1brn.src.rpm
从编译日志可以得知编译好的RPM在/usr/src/redhat/RPMS/noarch/fail2ban-0.6.2-1brn.noarch.rpm
rpm -Uvh /usr/src/redhat/RPMS/noarch/fail2ban-0.6.2-1brn.noarch.rpm
执行文件已经在 /etc/init.d/fail2ban ,并且作为一个服务可以用service fail2ban {start|stop|status|restart|condrestart}来进行操作
配置文件在/etc/fail2ban.conf
默认配置就是监控SSH端口和日志,所以我未作大的改动,有兴趣的兄弟可以尝试监控其它服务的日志和端口。
我改了一下几个参数:
“locale = ”改为“locale = en_US”,这个主要是为了时间格式的匹配,反正0.6.1版本有这个BUG并且没这个参数,导致我安装后无法使用,安装0.6.2后正常。
“maxfailures = 3”,这个其实就是最大尝试次数,在后面定义的时间区间如果超过了这个尝试次数将阻止IP访问SSH端口。
“bantime = 3600”,其实就是阻止的时间段,当达到阻止条件的时候,阻止该IP访问SSH端口3600秒,文档说如果设为“-1”就是永久阻止,各位可以视自己情况设定。
“findtime = 60”,这个参数就是尝试的时间段,在这个时间段内判断前面尝试次数,达到则阻止其它参数我没动,等有时间了再研究。
启动方法很简单,这里就不说了。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
新libSSH漏洞可获取服务器root访问权限
隐蔽近五年的libSSH漏洞可让恶意攻击者通过SSH服务器进程轻松获取对设备的管理控制。 NCC集团安全顾问P […]
-
NSS实验室评估下一代防火墙
根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]
-
移动认证安全简要指南
在移动电话使用的早期阶段,其管理和安全保证都遵循着企业标准。如今,移动设备数量激增,并由不同的人和企业所使用和拥有。然而,许多运行着关键任务的设备是由不同的安全供应商和技术来保障其安全的。
-
为什么单靠网络外围安全行不通?
近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…