介绍fail2ban的,有两篇文章都是比较侧重原理的:
主动式防火墙fail2ban
现转载第一篇。
===================== 分割线 =============================
对于一个成熟的网站来说,每天没有受到几次攻击是说不过去的。 
之前我写过一个shell script,实现过“主动式防火墙”,即从访问特征中找到潜在的威胁,通过iptables防火墙直接deny。大致原理也很简单:
- cat 日志,并通过awk从日志中分离出来源ip
- 通过sort + uniq -c 对IP和访问数量进行统计
- 获取访问量最高的几个来源,一旦达到阀值启动iptables策略进行封堵。
这样一个脚本只要定期通过cron服务调用就可以实现主动防火墙的效果。但时间一长,这个方法的弊端就体现出来,首先是不够灵活,对于时间的粒度调整和黑白名单的设置上就很麻烦;其次是这种方法仅能针对某一种服务,例如apache的80号,对于类似全端口扫描之类的联合攻击反而起不到应有的作用。
本来我打算用python写一个综合的入侵日志分析+iptables调用框架,没想到确实有先人已经早我很久实现了,这就是本文要介绍的fail2ban。
安装fail2ban
还是ubuntu,apt库中就有这个项目apt-get install fail2ban
service fail2ban start 启动这个服务。
如果确实需要源码编译,可以到该项目的主页下载源码,安装过程更接近于python扩展的安装。需要说明的是fail2ban是基于gamin服务框架的,编译时需要安装python-gamin的支持库。
配置服务
apt方式安装后,/etc/fail2ban目录下有几个配置文件 fail2ban.conf 主要是定义了服务器的日志和监听端口什么的,可以不去理会,直接打开jail.conf
[DEFAULT]为默认的配置配置参数很多,主要介绍几个常用的吧:
- ignoreip = 127.0.0.1/8 白名单地址,支持网段,多个地址之间用空格隔开。此地址段的地址不会被封堵。
- bantime = 600 封堵时间,单位是秒
- maxretry = 3 个人觉得这个配置有点误导,其实是过滤器(后面说)过滤出来的日志中符合规则需要封堵的次数。
我们用默认的[ssh]服务来介绍针对于某一个服务的配置:
- enabled = true 是否启用,没什么好说的
- port = ssh 封堵端口,支持端口号和协议名两种方式,多个端口用逗号隔开
- filter = sshd 过滤器名称,默认的过滤器在/etc/fail2ban/filter.d目录下,以.conf结尾,本例中针对/etc/fail2ban/filter.d/sshd.conf
- logpath = /var/log/auth.log 日志路径
- maxretry = 6 最大重试次数,同上
过滤器的配置其实很简单,需要懂得使用正则表达式来进行日志过滤,
- failregex = reject: RCPT from (.*)[<HOST>]: 554 过滤的正则表达式,可以通过多行表示多个规则。
fail2ban还有一个客户端工具叫做 fail2ban-client ,可以通过它完成整个fail2ban的配置,相对来说比较简单,这里也就不累述了。
其他
个人觉得这个fail2ban是很方便的一个工具,几乎不需要太多的配置。可能有的人需要通过程序端,例如php进行防火墙的操作,正如我现在所做的一样,程序会定期将IP写入一个文件中,通过过滤器直接取出ip进行封堵即可。