如何在CentOS7上使用Fail2Ban保护SSH

来自菜鸟教程
跳转至:导航、​搜索

介绍

虽然通过 SSH 连接到您的服务器非常安全,但 SSH 守护程序本身是一项服务,必须向 Internet 公开才能正常运行。 这带来了一些固有的风险,并为潜在的攻击者提供了攻击媒介。

任何暴露给网络的服务都是这种方式的潜在目标。 如果您注意这些服务的应用程序日志,您会经常看到重复的、系统的登录尝试,这些尝试代表用户和机器人等的暴力攻击。

名为 Fail2ban 的服务可以通过创建规则来缓解此问题,这些规则会根据预定义的不成功登录尝试次数自动更改您的 iptables 防火墙配置。 这将允许您的服务器在无需您干预的情况下响应非法访问尝试。

在本指南中,我们将介绍如何在 CentOS 7 服务器上安装和使用 Fail2ban。

在 CentOS 7 上安装 Fail2ban

虽然 Fail2ban 在官方 CentOS 软件包存储库中不可用,但它是为 EPEL 项目 打包的。 EPEL 代表 Enterprise Linux 的 Extra Packages,可以使用 CentOS 提供的 的发行包安装:

sudo yum install epel-release

系统将提示您继续 - 按 y,然后按 Enter

yum promptTransaction Summary
============================================================================
Install  1 Package

Total download size: 14 k
Installed size: 24 k
Is this ok [y/d/N]: y

现在我们应该可以安装 fail2ban 包了:

sudo yum install fail2ban

再次,在提示继续时按 yEnter

安装完成后,使用 systemctl 启用 fail2ban 服务:

sudo systemctl enable fail2ban

配置本地设置

Fail2ban 服务将其配置文件保存在 /etc/fail2ban 目录中。 在那里,您可以找到一个名为 jail.conf 的具有默认值的文件。 由于这个文件可能会被包升级覆盖,我们不应该就地编辑它。 相反,我们将编写一个名为 jail.local 的新文件。 jail.local 中定义的任何值都将覆盖 jail.conf 中的值。

jail.conf 包含一个 [DEFAULT] 部分,然后是各个服务的部分。 jail.local 可以覆盖任何这些值。 此外,/etc/fail2ban/jail.d/ 中的文件可用于覆盖这两个文件中的设置。 文件按以下顺序应用:

  1. /etc/fail2ban/jail.conf
  2. /etc/fail2ban/jail.d/*.conf,按字母顺序
  3. /etc/fail2ban/jail.local
  4. /etc/fail2ban/jail.d/*.local,按字母顺序

任何文件都可能包含一个 [DEFAULT] 部分,首先执行,还可能包含各个监狱的部分。 为给定参数设置的最后一个 vavalue 优先。

让我们从编写一个非常简单的 jail.local 版本开始。 使用 nano(或您选择的编辑器)打开一个新文件:

sudo nano /etc/fail2ban/jail.local

粘贴以下内容:

/etc/fail2ban/jail.local

[DEFAULT]
# Ban hosts for one hour:
bantime = 3600

# Override /etc/fail2ban/jail.d/00-firewalld.conf:
banaction = iptables-multiport

[sshd]
enabled = true

这会覆盖三个设置:它为所有服务设置一个新的默认 bantime,确保我们使用 iptables 进行防火墙配置,并启用 sshd 监狱。

退出并保存新文件(在nano中,按Ctrl-X退出,y保存,回车确认文件名)。 现在我们可以使用 systemctl 重新启动 fail2ban 服务:

sudo systemctl restart fail2ban

systemctl 命令应该在没有任何输出的情况下完成。 为了检查服务是否正在运行,我们可以使用 fail2ban-client

sudo fail2ban-client status
OutputStatus
|- Number of jail:      1
`- Jail list:   sshd

您还可以获得有关特定监狱的更多详细信息:

sudo fail2ban-client status sshd

探索可用设置

我们上面定义的 jail.local 版本是一个好的开始,但您可能需要调整一些其他设置。 打开 jail.conf,我们将检查一些默认值。 如果您决定更改这些值中的任何一个,请记住它们应该被复制到 jail.local 的适当部分并在那里进行调整,而不是就地修改。

sudo nano /etc/fail2ban/jail.conf

所有监狱的默认设置

首先,滚动浏览 [DEFAULT] 部分。

ignoreip = 127.0.0.1/8

您可以通过向 ignoreip 参数添加值来调整 Fail2ban 忽略的源地址。 目前,它被配置为不禁止来自本地计算机的任何流量。 您可以通过将其他地址附加到参数末尾来包含要忽略的其他地址,并用空格分隔。

bantime = 600

bantime 参数设置客户端在无法正确验证时被禁止的时间长度。 这是以秒为单位的。 默认情况下,这设置为 600 秒或 10 分钟。

findtime = 600
maxretry = 3

接下来要注意的两个参数是 findtimemaxretry。 这些共同确定应禁止客户的条件。

maxretry 变量设置客户端在被禁止之前必须在 findtime 定义的时间窗口内进行身份验证的次数。 使用默认设置,Fail2ban 将禁止在 10 分钟窗口内尝试登录 3 次未成功的客户端。

destemail = root@localhost
sendername = Fail2Ban
mta = sendmail

如果您希望配置电子邮件警报,您可能需要覆盖 destemailsendernamemta 设置。 destemail 参数设置应接收禁止消息的电子邮件地址。 sendername 设置电子邮件中“发件人”字段的值。 mta 参数配置将使用什么邮件服务来发送邮件。

action = $(action_)s

此参数配置 Fail2ban 在要制定禁令时采取的操作。 值 action_ 在该参数之前的文件中定义。 默认操作是简单地将防火墙配置为拒绝来自违规主机的流量,直到禁令时间结束。

如果您想配置电子邮件警报,您可以将此值从 action_ 覆盖到 action_mw。 如果您希望电子邮件包含相关的日志行,您可以将其更改为 action_mwl。 如果您选择使用邮件警报,您需要确保配置了适当的邮件设置。

个人监狱的设置

[DEFAULT] 之后,我们将遇到为不同服务配置单独监狱的部分。 这些通常包括要禁止的 port 和监视恶意访问尝试的 logpath。 例如,我们已经在 jail.local 中启用的 SSH jail 有以下设置:

/etc/fail2ban/jail.local

[sshd]

port    = ssh
logpath = %(sshd_log)s

在这种情况下,ssh 是标准 SSH 端口的预定义变量,%(sshd_log)s 使用 Fail2ban 标准配置中其他地方定义的值(这有助于保持 jail.conf 在不同的操作系统)。

您可能会遇到的另一个设置是 filter,它将用于确定日志中的一行是否指示身份验证失败。

filter 值实际上是对位于 /etc/fail2ban/filter.d 目录中的文件的引用,删除了 .conf 扩展名。 此文件包含确定日志中的行是否错误的正则表达式。 我们不会在本指南中深入介绍此文件,因为它相当复杂,并且预定义的设置与适当的行匹配得很好。

但是,您可以通过查看该目录来查看可用的过滤器类型:

ls /etc/fail2ban/filter.d

如果您看到一个看起来与您正在使用的服务相关的文件,您应该使用文本编辑器打开它。 大多数文件都有很好的注释,您应该能够分辨出脚本旨在防止哪种类型的条件。 这些过滤器中的大多数在 jail.conf 中都有适当的(禁用)部分,如果需要,我们可以在 jail.local 中启用这些部分。

例如,假设我们正在使用 Nginx 为网站提供服务,并意识到我们网站的受密码保护的部分因登录尝试而受到抨击。 我们可以告诉 Fail2ban 使用 nginx-http-auth.conf 文件来检查 /var/log/nginx/error.log 文件中的这种情况。

这实际上已经在我们的 /etc/fail2ban/jail.conf 文件中名为 [nginx-http-auth] 的部分中设置。 我们只需将 nginx-http-auth 监狱的 enabled 参数添加到 jail.local

/etc/fail2ban/jail.local

[DEFAULT]
# Ban hosts for one hour:
bantime = 3600

# Override /etc/fail2ban/jail.d/00-firewalld.conf:
banaction = iptables-multiport

[sshd]
enabled = true

[nginx-http-auth]
enabled = true

并重启fail2ban服务:

sudo systemctl restart fail2ban

监控 Fail2ban 日志和防火墙配置

重要的是要知道像 Fail2ban 这样的服务正在按预期工作。 首先使用 systemctl 检查服务的状态:

sudo systemctl status fail2ban

如果这里看起来有问题,您可以通过检查自上次启动以来的 fail2ban 单元的日志进行故障排除:

sudo journalctl -b -u fail2ban

接下来,使用 fail2ban-client 查询 fail2ban-server 的整体状态,或任何单个监狱:

sudo fail2ban-client status
sudo fail2ban-client status jail_name

按照 Fail2ban 的日志记录最近的操作(按 Ctrl-C 退出):

sudo tail -F /var/log/fail2ban.log

列出为 iptables 配置的当前规则:

sudo iptables -L

以反映启用每个规则所需的命令的格式显示 iptables 规则:

sudo iptables -S

结论

您现在应该能够为您的服务配置一些基本的禁止策略。 Fail2ban 很容易设置,是保护任何使用身份验证的服务的好方法。

如果您想了解更多关于 Fail2ban 的工作原理,您可以查看我们关于 fail2ban 规则和文件如何工作 的教程。