执行一键安装后,可按 0,1,2,3,来下一步。
0 为删除卸载 fail2ban
1 为设置封禁IP 600秒 (10分钟) 默认1
2 为设置封禁IP 6000秒 100分钟
3 为设置封禁IP 60000秒 1000分钟
一键安装后,无需设置就可防暴SSH。
自动检测 Debian 采用 apt-get install, 安装[33]2[/33]
自动检测 Centos 采用 先创建源,再 yum install, 安装
目前在以上两系统上测试通过。其它系统未测试。
安装的版号在0.8.4 或 0.8.6
相关命令:
本贴隐藏内容,需登录、回复后,即可浏览!
注:
安装fail2ban,fail2ban默认启动了,也加入了随系统启动。
安装fail2ban,默认只开启了 SSH暴破检测。其它FTP暴破检测需手动修改文件开启。
安装fail2ban,资源占用并不多的,进程占几M内存,如日志更大或许占用更多。
如果重启了iptables, fail2ban将失效,请重启fail2ban生效。
注:Centos 7 系统暂不支持fail2ban。 yum无安装包,压缩包安装的无法正常运行
设置FTP防暴破:(pure-ftpd)
本贴隐藏内容,需登录、回复后,即可浏览!
几个日志文件的相关位置:
本贴隐藏内容,需登录、回复后,即可浏览!
让fail2ban更强悍:(修改脚本)
本贴隐藏内容,需登录、回复后,即可浏览!
安装或删除 fail2ban 时,其中会执行停止Stopping,有时会过一小会,请稍等。
安装此包需 python =>2.4 ,python版本低会提示,并安装不上的。
执行 python 就能查看版本号, CTRL + Z 退出 python 状态。
注:如果你修改过21、22端口,此程序不会封你修改过的端口号,
只会封原来的SSH、FTP对应的21、22端口。
图片附件: fail2ban.jpg (2014-6-22 00:04, 29.65 KB) / 下载次数 549http://idc866.com/attachment.php?aid=3004&k=dbc7f3cea9083263170979d6e54de107&t=1713482972&sid=w42DLT
作者: idc886 时间: 2014-6-21 23:56
Fail2ban 百科 相关介绍。
http://baike.baidu.com/view/7347720.htm?fr=aladdin
fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的软件!
1、支持大量服务。如sshd,apache,qmail,proftpd,sasl等等
官方网站:
http://www.fail2ban.org/wiki/index.php/Main_Page
http://www.fail2ban.org/wiki/index.php/Downloads
2014/03/15 0.8.13 fail2ban-0.8.13 stable 正式版 需 Python>=2.4 支持
2014/03/15 0.9.0 beta 测试版 需Python>=2.6安装
Debian系统 直接使用: apt-get install -y fail2ban 安装即可。
安装后默认启动,并且会随系统自动启动服务。
默认只开启SSH检测, 未开其它检测,支持开pure-ftp检测(需pure-ftp英文语言)。
Centos系统 无法直接使用: yum install -y fail2ban ,因为没有安装源
需建立.repo 源文件,即可执行安装。 如:
vim /etc/yum.repos.d/fail2ban.repo
[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1
复制以上内容到 /etc/yum.repos.d/fail2ban.repo 文件里保存退出,
即可执行 yum install -y fail2ban 安装了。
安装后默认启动,并且会随系统自动启动服务。
默认只开启SSH检测, 未开其它检测。[33]1[/33] yum安装的且无pure-ftp检测项,添加规则没效果,阻止不了,可能哪里脚本还有问题
要想用pure-ftp检测,需使用下面的压缩包安装法。
以上 yum,apt法安装一般安装的版号在0.8.4 或 0.8.6
下载新版安装包文件安装:
只试了在 Centos系统 可这样装Debian不能使用,因为没有自动启动文件,只带了 redhat-initd 启动文件。
Debian下把apt-get安装的启动文件复制过来,也不能正常启动 fail2ban
1、从官网下载安装包,
wget https://github.com/fail2ban/fail2ban/archive/0.8.13.tar.gz
tar xzf 0.8.13.tar.gz
cd fail2ban-0.8.13/
./setup.py install
cp files/redhat-initd /etc/init.d/fail2ban
chmod 755 /etc/init.d/fail2ban
chkconfig --add fail2ban #创建启动项
service fail2ban start #启动运行
ps -ef | grep fail2ban #查看是否有进程。
2、建fail2ban日志轮循
vi /etc/logrotate.d/fail2ban
/var/log/fail2ban.log {
weekly
rotate 7
missingok
compress
postrotate
/etc/init.d/fail2ban restart 1>/dev/null || true
endscript
}
3、修改配制文件开启SSH、FTP
配制文件:/etc/fail2ban/jail.conf
(这种安装的,没有开启任何检测 ,自己修改配制文件,得改正确的日志路径)
4、重启 service fail2ban restart
即可正常了, 自己用SSH乱输入几次密码看。[33]3[/33]
用 iptables -L 可查看到所封IP
注: 安装包装过0.9.0测试版, Centos运行正常,Debian一样无启动文件, 且是他的配制文件不同与0.8系版不同,没找到修改参数,
所以我测试的0.9.0版,无法正常封禁IP。 不会设置
作者: idc886 时间: 2014-6-21 23:56
这几天我才关注这个防暴破。 因为我的VPs、服务器,天天都在被人暴破。
有的暴破连接数过多导致负载过高。
以前只知道这些IP连接数过多,不知道他们在干嘛, 近来查了一下端口才知道
很多连接数过多的都是暴21、22的。
1,最早以前只是用那个DDOS防连接数过多的,
发现很多没达到连接数的不会被封,但会引起负载。
3、后来改为封那些经常来暴的IP段,全世界很多都来暴的,手工封效果不好
4、后来还停了一些服的FTP。[11]2[/11]
5、后来又改为 只允许 本地IP段登录 21、22,就要找清楚你所在地区使用的IP段。
如:
iptables -I INPUT -s 222.242.1.1/16 -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -s 175.2.1.1/16 -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -s 58.46.1.1/16 -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -p tcp --dport 21 -j DROP
上面是三第允许我这本地的三个IP段访问21。最后一条是其它IP全禁止访问。
效果也很不错。
但有两点,
封21,只适合自己一个人用的服。别人共用的话就得都找来他们的IP段,麻烦。
封22,要是规则没弄好,导致自己也被封了就麻烦。[55]3[/55]
发现福建莆田联通、河南省濮阳联通的IP段原来几个月了一直是在暴21和22
而且是多台服或VPs同时被暴。
所以这两天一直在弄这个 fail2ban, 现在弄成了一键安装,简单方便。
这下好了,再也不愁SSH、FTP被暴了。
------------------------------------
不过,要想更安全,那就如楼下说的,
改SSh端口上W, 停FTP或不装FTP,
再有就是禁ping
作者: leisun321 时间: 2014-6-22 09:52
我把 ssh 端口改了 应该就没事了吧
作者: idc886 时间: 2014-6-22 11:00
回复 4# leisun321
很好。 可以减少 被暴机率。
一般很少穷举扫描端口来分析可用端口的的,
除非有目的地针对你的站,穷举扫描 几W端口,把能用端口弄出来,再单个看。
你还有 21端口。 呵呵。
作者: myniejianping 时间: 2014-6-22 16:00
我以前玩的时候你总说没啥用。。。 以前那个IPDDOS那个也也是
作者: idc886 时间: 2014-6-22 16:29
回复 6# myniejianping
刚看了聊天记录,13年8月你聊过这个,还发过一个脚本。不过,我一直没折腾过
直到这段时间查出很多人在暴我服、VPs。
所以才仔细搜索了一下,折腾出来弄成一键包。
作者: leisun321 时间: 2014-6-23 08:50
回复 5# idc886
21 那个 我ftp没装
作者: idc886 时间: 2014-6-25 22:48
回复 8# leisun321
安全。
改22端口, 停FTP,或不装FTP。
还有据说禁ping 安全系数又升一级。
作者: 953436431 时间: 2014-6-27 00:52
回复 1# idc886
学习一下 学习一下 学习一下 学习一下 学习一下 学习一下 学习一下 学习一下 学习一下
作者: xiaohan88 时间: 2014-6-28 15:47
这个要学习学习。
作者: sucheasy 时间: 2014-6-29 10:07
我去 今天不小心看了这个帖子 去查了下自己的安全日志。。。 一片片的。。。非法尝试登录
作者: 382813125 时间: 2014-6-29 14:53
一键防爆破么,不错~
作者: ballpen 时间: 2014-6-30 13:29
看看不错 谢谢
作者: 龙腾宇内 时间: 2014-7-2 01:17
顶楼主啦..希望楼主多发精品好帖啦.....
作者: Windows.Xp 时间: 2014-9-25 16:15
看看是什么东西!!!6666
作者: aizhu 时间: 2014-9-26 19:46
我把 ssh 端口改了 应该就没事了吧
作者: loneil 时间: 2014-9-27 16:48
这个确实是问题啊。。。谢了
作者: hyfnb 时间: 2014-10-17 04:17
为了此帖来论坛的 谢谢楼主分享
作者: 焦泠儿 时间: 2014-12-12 08:13
新手,学习一下。。。
作者: zhr890712 时间: 2014-12-24 12:42
看看再说了!
作者: interracial 时间: 2015-1-11 07:59
最近总是有爆破的,必须装脚本了
作者: 大胖狗 时间: 2015-1-26 01:38
回复 1# idc886
太好了,非常感谢!
作者: VPSJust 时间: 2015-11-16 11:29
学习学习
作者: 冰冰 时间: 2017-2-3 13:11
0000000000000000000
| 欢迎光临 免费国外空间,国外免费空间, (http://idc866.com/) | Powered by Discuz! 7.2 |