Linux系統上廣泛使用的入侵防禦工具- fail2ban

 


fail2ban是Linux系統上廣泛使用的入侵防禦工具。它可以監視系統日誌文件,如果發現有太多的密碼嘗試失敗(可能是暴力破解攻擊),就會透過防火牆攔截來自該IP位址的訪問,從而保護系統的安全。

以下是在CentOS/RHEL系統上使用fail2ban的步驟:

  1. 安裝失敗2ban
sudo yum install fail2ban
  1. 複製設定檔
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

這樣可以在jail.local中修改配置,而不影響原始的jail.conf檔案。

  1. 編輯jail.local配置文件

使用您熟悉的文字編輯器編輯/etc/fail2ban/jail.local文件。常見設定包括:

  • ignoreip- 忽略某些IP,例如本機位址127.0.0.1
  • bantime- 阻止的時間,單位是秒,例如3600代表1小時
  • findtime- 偵測時間範圍,單位是秒,如果在該時段出現過多失敗,則停止
  • maxretry- 在findtime期限內,最大失敗嘗試次數
  1. 啟用需要防護的服務

取消對應服務的註釋,例如:

[sshd]
enabled = true

這使得SSH服務啟用保護,監視/var/log/secure日誌檔案。

  1. 啟動fail2ban服務
sudo systemctl start fail2ban
sudo systemctl enable fail2ban # 开机自启
  1. 查看狀態和日誌
sudo fail2ban-client status  # 查看状态
sudo fail2ban-client status sshd  # 查看sshd服务状态
sudo cat /var/log/fail2ban.log  # 查看日志

實際應用場景:

  • SSH遠端登入保護-防止暴力SSH破解密碼
  • Web服務保護- 防禦暴力破解網站後台、WordPress等CMS管理員密碼
  • 郵件服務保護- 防禦猜想郵件信箱密碼

fail2ban是一個簡單但非常有用的入侵防禦工具,透過正確的配置,能有效防禦各種常見的暴力破解攻擊,值得在生產環境中廣泛使用。


/etc/fail2ban/jail.local配置文件的一些常見選項和範例配置,並做詳細說明:

.ini
# 全局配置
[DEFAULT]
ignoreip = 127.0.0.1/8 ::1  # 忽略本地地址
bantime = 3600  # 阻止时间为1小时 
findtime = 600  # 检测时间范围为10分钟
maxretry = 5  # 在10分钟内最多允许5次失败

# SSH服务配置 
[sshd]
enabled = true
port = ssh  # 监视的SSH端口
filter = sshd  # 使用的过滤器文件名
logpath = /var/log/secure  # 监视的日志文件路径
maxretry = 5  # 覆盖全局的最大重试次数

# Apache服务配置
[apache]  
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# MySQL服务配置
[mysql-iptables]
enabled = true  
filter = mysql  
action = iptables-multiport[...]
logpath = /var/log/mysql/mysql.log
            /var/log/mysql/mysql-slow.log
maxretry = 3
bantime = 600 # 阻止10分钟

# 邮件服务配置
[postfix-sasl]
enabled = true
filter = postfix[mode=auth]
logpath = /var/log/mail.log

說明:

  • [DEFAULT]中的選項會作為全域預設值,可以被其他服務配置覆蓋。
  • ignoreip指定需要忽略的 IP 位址,可以是單一位址或使用遮罩。
  • bantime指定阻止的時間,單位為秒。3600代表1小時。
  • findtime指定偵測時間範圍,單位為秒。如果在此期限內失敗次數超過maxretry,將觸發阻止。
  • maxretry指定允許的最大重試次數。
  • 對於每個服務的配置,均需啟用enabled = true
  • port指定該服務要監視的端口,可以使用服務名或端口號。
  • filter指定使用的過濾器檔案名,該檔案位於/etc/fail2ban/filter.d/目錄下。
  • logpath指定要監視的日誌檔案路徑,可以使用相對路徑,也可以是多個檔案路徑。

以上就是
的fail2ban配置選項,可以根據實際需求進行調整。更高級的選項可以查看官方文件。正確配置fail2ban,可以很好地保護系統工作站設備破解攻擊。

留言

張貼留言

這個網誌中的熱門文章

windows server 「虛擬化型保護的程式碼完整性」(Virtualization Based Protection of Code Integrity,VBS) 功能說明與設定

圖片
 這個功能是 Windows 的一項安全機制,用於確保只有經過信任的程式碼才能在系統上執行,從而防止惡意軟體或未經授權的修改。 VBS 的重要性 VBS 能有效防禦以下威脅: 驅動程式攻擊: 惡意軟體常透過偽裝成驅動程式來取得系統控制權,VBS 能有效阻擋這類攻擊。 程式碼注入: 駭客試圖將惡意程式碼注入合法程式,VBS 能偵測並阻止這類行為。 記憶體攻擊: 惡意軟體常利用記憶體漏洞進行攻擊,VBS 能強化記憶體保護,降低風險。 停用 VBS 的原因 VBS 雖然能提升安全性,但某些情況下可能會被停用: 相容性問題: 部分較舊的硬體或軟體可能與 VBS 不相容,導致系統不穩定。 效能影響: VBS 會佔用一些系統資源,對極度講求效能的環境可能有些微影響。 設定錯誤: 系統管理員可能因誤操作或其他原因而意外停用 VBS。 建議處理方式 強烈建議您重新啟用 VBS,以增強伺服器的安全性。以下為啟用步驟: 檢查相容性: 確認您的硬體符合 VBS 的最低需求 (如:支援虛擬化技術的處理器)。 更新所有驅動程式和軟體至最新版本。 若有不相容的軟體,考慮尋找替代方案或聯絡軟體供應商尋求支援。 啟用 VBS: 開啟 Windows PowerShell (系統管理員)。 輸入以下指令並執行: PowerShell Enable-WindowsOptionalFeature -Online -FeatureName VirtualMachinePlatform 請 謹慎使用 程式碼。 content_copy 重新啟動伺服器。 驗證: 再次執行安全掃描,確認 VBS 已成功啟用。 若問題仍然存在,可參考 Microsoft 官方文件或尋求技術支援。 額外建議 定期更新: 持續更新作業系統、驅動程式和軟體,以確保獲得最新的安全修補。 多層次防護: 除了 VBS,搭配防火牆、防毒軟體等其他安全措施,建立更全面的防護網。 監控與記錄: 定期檢視系統日誌,及早發現並處理異常活動。 重要提醒 啟用 VBS 後,請密切觀察伺服器的穩定性和效能。若出現任何異常,可考慮暫時停用 VBS 並進一步分析問題。 解決方法 虛擬化型安全性 (VBS) 利用硬體虛擬化和 Windows* Hypervi...
閱讀完整內容

linux server - 檢查nvidia driver 異常並自動重新開機

此bash腳本,可以檢查nvidia-smi命令的輸出是否包含"driver/library version mismatch"字串,如果包含則重新啟動系統: bash Copy code #!/bin/bash # 執行nvidia-smi命令並捕獲輸出 output = $( nvidia-smi 2 > &1 ) # 檢查輸出中是否包含"driver/library version mismatch"字串 if [ [ $output == * "driver/library version mismatch" * ] ] ; then echo "發現NVIDIA驅動程式版本不匹配錯誤,系統將重新啟動..." # 以root權限重新啟動系統 sudo reboot else echo "NVIDIA驅動程式版本正常" fi 說明: 第一行 #!/bin/bash 指定使用bash shell來執行腳本。 第4行使用 nvidia-smi 命令並將其輸出(包括錯誤訊息)存入變數 output 中。 第7行使用 [[ ]] 結構來檢查 output 變數的值是否包含"driver/library version mismatch"字串。 如果包含,則輸出警告訊息並使用 sudo reboot 命令以root權限重新啟動系統。 如果不包含,則輸出"NVIDIA驅動程式版本正常"。 使用方式: 將上述腳本內容保存為一個文件,例如 nvidia_check.sh 。 給予執行權限: chmod +x nvidia_check.sh 。 執行腳本: ./nvidia_check.sh 。 根據需要,您可以將此腳本加入定期維護任務(cron job)中,定期檢查NVIDIA驅動程式版本是否匹配。
閱讀完整內容

Docker 應用: 再以建置好container狀況下 如何透過json設定檔設定 在修改 Working Directory 和 Restart Policy 設定

  大家好!今天我們來聊聊如何透過修改Docker 容器的設定文件,設定Working Directory(工作目錄)和Restart Policy(重啟策略)。這種方法雖然有點“黑科技”,但掌握後會讓你在Docker 的使用上更加得心應手。準備好了嗎?讓我們開始吧! 步驟一:準備工作 首先,我們需要確保已經有一個運作中的Docker 容器。假設我們有一個名為 baai_m3 的容器,它是透過以下命令建立的: 巴什 複製程式碼 docker run --gpus all -it -p 8006:8006 --name baai_m3 -v $( pwd ):/baai_m3 nvidia/cuda:12.1.0-devel-ubuntu22.04 /bin/bash 現在,我們要透過設定檔設定它的工作目錄和重新啟動策略。 步驟二:停止容器 在進行設定檔修改之前,必須先停止容器: 巴什 複製程式碼 docker stop baai_m3 步驟三:修改config.v2.json 文件 找到容器的ID: 巴什 複製程式碼 docker inspect --format= "{{.Id}}"   baai_m3 假設我們得到了一個類似 abc123def456 的容器ID。 開啟 config.v2.json 文件: 巴什 複製程式碼 sudo nano /var/lib/docker/containers/abc123def456/config.v2.json 找到或新增 "WorkingDir" 設定: json 複製程式碼 { ... "Path" : "/bin/bash" , "Args" : [ ] , "WorkingDir" : "/baai_m3" , ... } 確保你在文件中添加了 "WorkingDir": "/baai_m3" 。 步驟四:修改hostconfig.json 文件 開啟 hostconfig.json 文件: 巴什 複製程式碼 sudo nano /var/lib/docker/containe...
閱讀完整內容