防SSH/FTP暴破,一键安装fail2ban安装脚本,Centos安装fail2ban,Debian安装fail2ban
一键安装fail2ban安装脚本,Centos安装fail2ban,Debian安装fail2ban,注:最新的Centos7 测试不支持,无fail2ban源。
[b][size=4][color=#ff0000]暴破的危害:[/color][/size][/b]
1、很占资源。 我的VPs、服务器经常被这些暴破搞得连接数过多,负载过高。
2、影响安全。 再强的密码都有可能被穷举暴破的一天,只是时间问题。
虽然密码都是设的10位以上英文数字大小写加符号,虽然短时间不会暴。
但不排除长时间、云节点同时暴的,或是利用字典,各网站暴的密码来破。
只要服务器、VPS连了互联网,就会遭到暴破,请使用加强密码和防暴破。
[size=3][color=#ff0000]所以,限制 暴破 刻不容缓。[/color][/size]
[size=5][color=#0000ff]防SSH/FTP暴破,请装 fail2ban, 非常给力。[/color][/size]
[b][size=4][color=blue]一键安装:[/color][/size]
[/b]
[code]wget http://vps.idc866.com/fail2ban.sh;sh fail2ban.sh[/code]
[b][color=#ff0000]注:[/color][/b]全新系统一般需要执行一下升级更新,才能装上。
[size=12px]Debian:[/size][size=12px]apt-get update -y [/size][size=12px]Centos:[/size][size=12px]yum update -y[/size]
[attach]3004[/attach]
执行一键安装后,可按 0,1,2,3,来下一步。
0 为删除卸载 fail2ban
1 为设置封禁IP 600秒 (10分钟) 默认1
2 为设置封禁IP 6000秒 100分钟
3 为设置封禁IP 60000秒 1000分钟
[color=#0000ff]一键安装后,无需设置就可防暴SSH。[/color]
自动检测 Debian 采用 apt-get install, 安装[33]2[/33]
自动检测 Centos 采用 先创建源,再 yum install, 安装
目前在以上两系统上测试通过。其它系统未测试。
安装的版号在0.8.4 或 0.8.6
[color=#4169e1][b]相关命令:[/b][/color]
**** Hidden Message *****[/size]
[color=red][b]注:[/b][/color]
安装fail2ban,fail2ban默认启动了,也加入了随系统启动。
安装fail2ban,默认只开启了 SSH暴破检测。其它FTP暴破检测需手动修改文件开启。
安装fail2ban,资源占用并不多的,进程占几M内存,如日志更大或许占用更多。[color=#ff0000]
[/color]
[color=#ff0000]如果重启了iptables, fail2ban将失效,请重启fail2ban生效。[/color]
注:Centos 7 系统暂不支持fail2ban。 yum无安装包,压缩包安装的无法正常运行
[b][color=#0000ff]设置FTP[/color][/b][b][color=#0000ff]防暴破:[/color][/b](pure-ftpd)**** Hidden Message *****[/size]
[b][color=#0000ff]几个日志文件的相关位置:[/color][/b][size=12px]**** Hidden Message *****[/size]
[b][color=#0000ff]让[/color][/b][color=#0000ff][b]fail2ban更强悍:[/b][/color][size=12px](修改脚本)[/size][size=12px]**** Hidden Message *****[/size]
安装或删除 fail2ban 时,其中会执行停止Stopping,有时会过一小会,请稍等。
安装此包需 python =>2.4 ,python版本低会提示,并安装不上的。
执行 python 就能查看版本号, CTRL + Z 退出 python 状态。
[b][color=#ff0000]注:如果你修改过21、22端口,此程序不会封你修改过的端口号,[/color][/b]
[b][color=#ff0000] 只会封原来的SSH、FTP对应的21、22端口。[/color][/b] [color=#000][font=微软雅黑, 黑体, Verdana][size=34px]Fail2ban 百科[/size][/font][/color] 相关介绍。
http://baike.baidu.com/view/7347720.htm?fr=aladdin
fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的软件!
1、支持大量服务。如sshd,apache,qmail,proftpd,sasl等等
[b][color=#0000ff]官方网站:[/color][/b]
http://www.fail2ban.org/wiki/index.php/Main_Page
http://www.fail2ban.org/wiki/index.php/Downloads
2014/03/15 0.8.13 fail2ban-0.8.13 stable 正式版 需 Python>=2.4 支持
2014/03/15 0.9.0 beta 测试版 需Python>=2.6安装
[size=12px][b][color=#0000ff]Debian系统[/color][/b] 直接使用: apt-get install -y fail2ban 安装即可。[/size]
[size=12px] 安装后默认启动,并且会随系统自动启动服务。[/size]
[size=12px] 默认只开启SSH检测, 未开其它检测,支持开pure-ftp检测(需pure-ftp英文语言)。[/size]
[size=12px][b][color=#0000ff]Centos系统 [/color][/b]无法直接使用: yum install -y fail2ban ,因为没有安装源[/size]
[size=12px]需建立.repo 源文件,即可执行安装。 如:[/size]
[size=12px]vim /etc/yum.repos.d/[/size][size=12px]fail2ban[/size][size=12px].repo[/size]
[size=12px][atrpms] [/size]
[size=12px]name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms [/size]
[size=12px]baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable [/size]
[size=12px]gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms [/size]
[size=12px]gpgcheck=1 [/size]
[size=12px]enabled=1[/size]
[size=12px]复制以上内容到 [/size][size=12px]/etc/yum.repos.d/[/size][size=12px]fail2ban[/size][size=12px].repo 文件里保存退出,[/size]
[size=12px]即可执行 [/size][size=12px]yum install -y fail2ban 安装了。[/size]
[size=12px] 安装后默认启动,并且会随系统自动启动服务。[/size]
[size=12px] 默认只开启SSH检测, 未开其它检测。[33]1[/33][/size][size=12px] yum安装的且无pure-ftp检测项,添加规则没效果,阻止不了,可能哪里脚本还有问题[/size]
[size=12px] 要想用pure-ftp检测,需使用下面的压缩包安装法。[/size]
[size=12px]以上 yum,apt法安装一般安装的版号在0.8.4 或 0.8.6[/size]
[b][color=#0000ff]下载新版安装包文件安装: [/color][/b]
只试了在 Centos系统 可这样装Debian不能使用,因为没有自动启动文件,只带了 redhat-initd 启动文件。
Debian下把apt-get安装的启动文件复制过来,也不能正常启动 fail2ban
1、从官网下载安装包,
wget https://github.com/fail2ban/fail2ban/archive/0.8.13.tar.gz
tar xzf 0.8.13.tar.gz
cd fail2ban-0.8.13/
./setup.py install
cp files/redhat-initd /etc/init.d/fail2ban
chmod 755 /etc/init.d/fail2ban
chkconfig --add fail2ban #创建启动项
service fail2ban start #启动运行
ps -ef | grep fail2ban #查看是否有进程。
2、建fail2ban日志轮循
vi /etc/logrotate.d/fail2ban
/var/log/fail2ban.log {
weekly
rotate 7
missingok
compress
postrotate
/etc/init.d/fail2ban restart 1>/dev/null || true
endscript
}
3、修改配制文件开启SSH、FTP
配制文件:/etc/fail2ban/jail.conf
(这种安装的,没有开启任何检测 ,自己修改配制文件,得改正确的日志路径)
4、重启 service fail2ban restart
即可正常了, 自己用SSH乱输入几次密码看。[33]3[/33]
用 iptables -L 可查看到所封IP
[b][color=#ff0000]注: [/color][/b]安装包装过0.9.0测试版, Centos运行正常,Debian一样无启动文件, 且是他的配制文件不同与0.8系版不同,没找到修改参数,
所以我测试的0.9.0版,无法正常封禁IP。 不会设置 这几天我才关注这个防暴破。 因为我的VPs、服务器,天天都在被人暴破。
有的暴破连接数过多导致负载过高。
以前只知道这些IP连接数过多,不知道他们在干嘛, 近来查了一下端口才知道
很多连接数过多的都是暴21、22的。
1,最早以前只是用那个DDOS防连接数过多的,
发现很多没达到连接数的不会被封,但会引起负载。
3、后来改为封那些经常来暴的IP段,全世界很多都来暴的,手工封效果不好
4、后来还停了一些服的FTP。[11]2[/11]
5、后来又改为 只允许 本地IP段登录 21、22,就要找清楚你所在地区使用的IP段。
如:
iptables -I INPUT -s 222.242.1.1/16 -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -s 175.2.1.1/16 -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -s 58.46.1.1/16 -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -p tcp --dport 21 -j DROP
上面是三第允许我这本地的三个IP段访问21。最后一条是其它IP全禁止访问。
效果也很不错。
但有两点,
封21,只适合自己一个人用的服。别人共用的话就得都找来他们的IP段,麻烦。
封22,要是规则没弄好,导致自己也被封了就麻烦。[55]3[/55]
发现福建莆田联通、河南省濮阳联通的IP段原来几个月了一直是在暴21和22
而且是多台服或VPs同时被暴。
所以这两天一直在弄这个 fail2ban, 现在弄成了一键安装,简单方便。
这下好了,再也不愁SSH、FTP被暴了。
[b]------------------------------------[/b]
[b]不过,要想更安全,那就如楼下说的, [/b]
[b]改SSh端口上W, 停FTP或不装FTP,[/b]
[b]再有就是禁ping [/b] 我把 ssh 端口改了 应该就没事了吧 [b]回复 [url=http://www.idc866.com/redirect.php?goto=findpost&pid=157156&ptid=18306]4#[/url] [i]leisun321[/i] [/b]
很好。 可以减少 被暴机率。
一般很少穷举扫描端口来分析可用端口的的,
除非有目的地针对你的站,穷举扫描 几W端口,把能用端口弄出来,再单个看。
你还有 21端口。 呵呵。 我以前玩的时候你总说没啥用。。。 以前那个IPDDOS那个也也是 [b]回复 [url=http://www.idc866.com/redirect.php?goto=findpost&pid=157162&ptid=18306]6#[/url] [i]myniejianping[/i] [/b]
刚看了聊天记录,13年8月你聊过这个,还发过一个脚本。[size=12px]不过,我一直没折腾过[/size]
直到这段时间查出很多人在暴我服、VPs。
所以才仔细搜索了一下,折腾出来弄成一键包。 [b]回复 [url=http://www.idc866.com/redirect.php?goto=findpost&pid=157157&ptid=18306]5#[/url] [i]idc886[/i] [/b]
21 那个 我ftp没装 [b]回复 [url=http://www.idc866.com/redirect.php?goto=findpost&pid=157179&ptid=18306]8#[/url] [i]leisun321[/i] [/b]
安全。
改22端口, 停FTP,或不装FTP。
还有据说禁ping 安全系数又升一级。 [b]回复 [url=http://www.idc866.com/redirect.php?goto=findpost&pid=157151&ptid=18306]1#[/url] [i]idc886[/i] [/b]
学习一下 学习一下 学习一下 学习一下 学习一下 学习一下 学习一下 学习一下 学习一下 这个要学习学习。 我去 今天不小心看了这个帖子 去查了下自己的安全日志。。。 一片片的。。。非法尝试登录 一键防爆破么,不错~ 看看不错 谢谢 顶楼主啦..希望楼主多发精品好帖啦..... 看看是什么东西!!!6666 我把 ssh 端口改了 应该就没事了吧 这个确实是问题啊。。。谢了 为了此帖来论坛的 谢谢楼主分享 新手,学习一下。。。 看看再说了! 最近总是有爆破的,必须装脚本了 [b]回复 [url=http://www.idc866.com/redirect.php?goto=findpost&pid=157151&ptid=18306]1#[/url] [i]idc886[/i] [/b]
太好了,非常感谢! 学习学习 0000000000000000000
页:
[1]
