我以前玩的时候你总说没啥用。。。  以前那个IPDDOS那个也也是

回复 4# leisun321


   很好。   可以减少 被暴机率。   
一般很少穷举扫描端口来分析可用端口的的，
除非有目的地针对你的站，穷举扫描 几W端口，把能用端口弄出来，再单个看。


你还有 21端口。  呵呵。

我把 ssh  端口改了    应该就没事了吧

这几天我才关注这个防暴破。  因为我的VPs、服务器，天天都在被人暴破。

有的暴破连接数过多导致负载过高。

以前只知道这些IP连接数过多，不知道他们在干嘛， 近来查了一下端口才知道
很多连接数过多的都是暴21、22的。


1，最早以前只是用那个DDOS防连接数过多的，
发现很多没达到连接数的不会被封，但会引起负载。

3、后来改为封那些经常来暴的IP段，全世界很多都来暴的，手工封效果不好

4、后来还停了一些服的FTP。免费空间2

5、后来又改为 只允许 本地IP段登录 21、22，就要找清楚你所在地区使用的IP段。

如：
iptables -I INPUT -s 222.242.1.1/16 -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -s 175.2.1.1/16 -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -s 58.46.1.1/16 -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -p tcp --dport 21 -j DROP

上面是三第允许我这本地的三个IP段访问21。最后一条是其它IP全禁止访问。

效果也很不错。

但有两点，
封21，只适合自己一个人用的服。别人共用的话就得都找来他们的IP段，麻烦。
封22，要是规则没弄好，导致自己也被封了就麻烦。 免费PHP空间


发现福建莆田联通、河南省濮阳联通的IP段原来几个月了一直是在暴21和22
而且是多台服或VPs同时被暴。


所以这两天一直在弄这个 fail2ban， 现在弄成了一键安装，简单方便。

这下好了，再也不愁SSH、FTP被暴了。


------------------------------------
不过，要想更安全，那就如楼下说的，

改SSh端口上W，  停FTP或不装FTP，

再有就是禁ping

Fail2ban 百科  相关介绍。

http://baike.baidu.com/view/7347720.htm?fr=aladdin

fail2ban可以监视你的系统日志，然后匹配日志的错误信息（正则式匹配）执行相应的屏蔽动作（一般情况下是调用防火墙屏蔽），如:当有人在试探你的SSH、SMTP、FTP密码，只要达到你预设的次数，fail2ban就会调用防火墙屏蔽这个IP，而且可以发送e-mail通知系统管理员，是一款很实用、很强大的软件！


1、支持大量服务。如sshd,apache,qmail,proftpd,sasl等等


官方网站：
http://www.fail2ban.org/wiki/index.php/Main_Page
http://www.fail2ban.org/wiki/index.php/Downloads

2014/03/15 0.8.13  fail2ban-0.8.13  stable 正式版  需 Python>=2.4 支持
2014/03/15 0.9.0  beta  测试版    需Python>=2.6安装




Debian系统 直接使用：  apt-get install -y   fail2ban   安装即可。
          安装后默认启动，并且会随系统自动启动服务。
           默认只开启SSH检测， 未开其它检测，支持开pure-ftp检测(需pure-ftp英文语言)。


Centos系统 无法直接使用： yum install  -y  fail2ban ，因为没有安装源
需建立.repo 源文件，即可执行安装。 如：

vim /etc/yum.repos.d/fail2ban.repo

[atrpms]
name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms
baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable
gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms
gpgcheck=1
enabled=1

复制以上内容到 /etc/yum.repos.d/fail2ban.repo 文件里保存退出，
即可执行  yum install  -y  fail2ban 安装了。
          安装后默认启动，并且会随系统自动启动服务。
           默认只开启SSH检测， 未开其它检测。 国外免费空间          yum安装的且无pure-ftp检测项，添加规则没效果，阻止不了，可能哪里脚本还有问题
          要想用pure-ftp检测，需使用下面的压缩包安装法。

         

以上 yum,apt法安装一般安装的版号在0.8.4 或 0.8.6







下载新版安装包文件安装：   

只试了在 Centos系统 可这样装Debian不能使用，因为没有自动启动文件，只带了 redhat-initd 启动文件。
Debian下把apt-get安装的启动文件复制过来，也不能正常启动 fail2ban


1、从官网下载安装包，

wget https://github.com/fail2ban/fail2ban/archive/0.8.13.tar.gz
tar xzf 0.8.13.tar.gz
cd fail2ban-0.8.13/
./setup.py install
cp files/redhat-initd  /etc/init.d/fail2ban
chmod 755 /etc/init.d/fail2ban

chkconfig --add fail2ban                #创建启动项
service fail2ban start                    #启动运行

ps -ef | grep fail2ban                  #查看是否有进程。




2、建fail2ban日志轮循

vi /etc/logrotate.d/fail2ban

/var/log/fail2ban.log {
        weekly
        rotate 7
        missingok
        compress
        postrotate
          /etc/init.d/fail2ban restart 1>/dev/null || true
        endscript
}




3、修改配制文件开启SSH、FTP  
     配制文件：/etc/fail2ban/jail.conf
     （这种安装的，没有开启任何检测 ，自己修改配制文件，得改正确的日志路径）


4、重启 service fail2ban  restart
     即可正常了， 自己用SSH乱输入几次密码看。 国外免费空间


用  iptables -L  可查看到所封IP



注： 安装包装过0.9.0测试版， Centos运行正常，Debian一样无启动文件，       且是他的配制文件不同与0.8系版不同，没找到修改参数，
       所以我测试的0.9.0版，无法正常封禁IP。 不会设置