文、張明泰老師
fail2ban 是一個針對 log 檔案(/var/log/secure 或 /var/log/apache2/error_log之類的)中密碼輸入錯誤的紀錄,檢查並更新防火牆規則進行 ban ip 動作的服務,可以有效的對付 bot-net(殭屍網路) 的惡意掃瞄程式。
在 rhel/centos 的版本中預設套件中沒有收錄,如果要安裝需要安裝 EPEL 的套件EPEL 是針對 fedora 中沒有被收錄在 rhel 的套件,做打包彙整。提供給 RHEL/CENTOS 使用的套件。如果要安裝 EPEL 套件來源方法很簡單,請在系統的 /etc/yum.repos.d/ 目錄建立一個檔案epel.repo 並且放入底下的內容,皆下來安裝軟體的時候就會更新了。底下是以 5 版 x86_64 為安裝來源如果你的版本比較新,請觀看EPEL官方網站(http://fedoraproject.org/wiki/EPEL)找比較新的安裝來源。
* yum EPEL安裝路徑來源設定好後,就可以透過 yum 安裝 fail2ban 軟體。
* 驗證看有沒有真的跑起來 ps –auxww。
此服務的系統服務設定檔主要為 /etc/fail2ban/fail2ban.conf ,另一個為服務監控的設定檔 /etc/fail2ban/jail.conf 格式類似底下這樣,設定檔案有很多設定的範例,底下以 sshd 服務做說明:
實驗測試:我從 110.110.69.10 連續五次故意密碼錯誤,系統的 log 就會有這樣的紀錄。
這時候 fail2ban 發現此ip一直產生錯誤的密碼紀錄,自動將此 ip 加入 iptables 規則中,這疑似有問題的連線就自動被擋在外面了。
但不用擔心,這個規則並不會永久存在。在設定檔 /etc/fail2ban/jail.conf 內預設是 600 秒後自動解開。
這服務很簡單就可以啟動,且針對目前存在的殭屍網路服務的阻擋非常的有效。至於其他的服務可以觀看 fail2ban 的官方網站,有更多的說明。 http://www.fail2ban.org/wiki/index.php/Main_Page
留言列表