fail2ban 初始設置 - 指導
根據我對我的基本理解,
iptables
我整理了以下旨在執行 Tor 中繼的設置……這里大約是 6 小時後。請注意,我不想討論任何 Tor 操作,所以我不會指向https://tor.stackexchange.com/謝謝。埠 22 遭到大規模攻擊,我醒來時發現了,所以我已經更改了它,密碼身份驗證已經被禁用,但是人/機器人無論如何都試圖闖入,我有一個 8192 位長的 RSA public/私鑰,所以我希望它就足夠了。
# iptables -L -v --line-numbers
輸出:
Chain INPUT (policy DROP 8242 packets, 735K bytes) num pkts bytes target prot opt in out source destination 1 0 0 DROP tcp -- any any anywhere anywhere ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN /* protection: non-syn packets */ 2 10 452 DROP all -- any any anywhere anywhere ctstate INVALID /* protection: malformed packets */ 3 20 1000 ACCEPT all -- lo any anywhere anywhere /* loopback: compulsory */ 4 3 98 ACCEPT icmp -- any any anywhere anywhere icmp echo-request limit: avg 2/sec burst 5 /* ICMP: ping only */ 5 16625 9388K ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED /* traffic */ 6 7 420 ACCEPT tcp -- any any anywhere anywhere ctstate NEW,ESTABLISHED tcp dpt:xxyyzz /* SSH: global obfuscated */ <-- CENSORED 7 438 26080 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9001 /* Tor: OR */ 8 558 30828 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9030 /* Tor: Dir */ Chain FORWARD (policy DROP 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 16969 packets, 6369K bytes) num pkts bytes target prot opt in out source destination
我想部署
fail2ban
,但我從未使用過它,所以我找到了幾個指南來設置它,但我相信我們應該在這個網站上有一些例子,我確實發現了太多的結果,但與初始設置fail2ban
無關🙁*fail2ban
*如果由於某種原因無法在此處完成,請發表評論,稍後我將刪除此問題。
系統:Debian GNU/Linux 11 (bullseye)
openssh-server
用於 ssh 服務。先感謝您!
在 deb 上安裝 f2b 相當簡單。我之前寫過一篇文章(https://dev.slickalpha.blog/2019/11/installing-lemp-stack-on-debian-buster.html#sv-fail2ban)。
首先你安裝 f2b
apt install fail2ban -y
複製配置到本地
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
並對本地文件進行編輯
nano /etc/fail2ban/jail.local
更新預設值(埠 22 在 f2b 上已預先啟用)
[DEFAULT] ... # MISCELLANEOUS OPTIONS... bantime = 86400 findtime = 86400 maxretry = 2`
重啟 f2b
/etc/init.d/fail2ban restart
檢查 sshd 22 的狀態
fail2ban-client status sshd
除此之外,使用帶有密碼的密鑰就足夠了。您可以隨時微調 f2b。
更新:
Fail2ban 基本上使用正則表達式過濾器檢查 IP 日誌,並使用 iptables 阻止匹配 IP。
列出啟用的監獄(f2b 中服務的正則表達式過濾器)
fail2ban-client status
為了保護自定義埠或服務,
檢查該服務的正則表達式過濾器是否存在
ls /etc/fail2ban/filter.d
如果它們存在,比如說
jail-name.conf
,只需在 f2b 本地文件上啟用它們nano /etc/fail2ban/jail.local
在語法下
[jail-name] ..options..
假設如果 sshd 未啟用,則添加
enabled = true
到 sshd 監獄[sshd] enabled = true ....
根據您的日誌測試監獄並在缺少時更新正則表達式
fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
如果服務或埠不存在監獄,請線上檢查這些過濾器,並將這些過濾器添加到
/etc/fail2ban/filter.d
本地配置文件並啟用它。