本文轉(zhuǎn)載于 簡書作者：l1lwai，轉(zhuǎn)載目的技術存檔怯伊，原文：http://www.reibang.com/p/4fdec5794d08

本文主要介紹一下CentOS7下Fail2ban安裝以及如何和iptables聯(lián)動來阻止惡意掃描和密碼猜測等惡意攻擊行為借嗽。

從CentOS7開始态鳖，官方的標準防火墻設置軟件從iptables變更為firewalld转培。 為了使Fail2ban與iptables聯(lián)動恶导，需禁用自帶的firewalld服務，同時安裝iptables服務浸须。因此惨寿，在進行Fail2ban的安裝與使用前需根據(jù)博客CentOS7安裝和配置iptables防火墻進行環(huán)境配置。

關于Fail2ban

• Fail2ban可以監(jiān)視你的系統(tǒng)日志删窒，然后匹配日志的錯誤信息（正則式匹配）執(zhí)行相應的屏蔽動作（一般情況下是調(diào)用防火墻屏蔽）裂垦，如:當有人在試探你的HTTP、SSH肌索、SMTP蕉拢、FTP密碼，只要達到你預設的次數(shù)诚亚，fail2ban就會調(diào)用防火墻屏蔽這個IP晕换，而且可以發(fā)送e-mail通知系統(tǒng)管理員，是一款很實用站宗、很強大的軟件闸准！

• Fail2ban由python語言開發(fā)，基于logwatch梢灭、gamin夷家、iptables蒸其、tcp-wrapper、shorewall等库快。如果想要發(fā)送郵件通知道摸袁，那還需要安裝postfix或sendmail。

• 在外網(wǎng)環(huán)境下义屏，有很多的惡意掃描和密碼猜測等惡意攻擊行為但惶，使用Fail2ban配合iptables，實現(xiàn)動態(tài)防火墻是一個很好的解決方案湿蛔。

安裝Fail2ban

首先需要到Fail2ban官網(wǎng)下載程序源碼包膀曾，本文中通過穩(wěn)定版Fail2ban-0.8.14做演示。

wget https://codeload.github.com/fail2ban/fail2ban/tar.gz/0.8.14

成功下載之后阳啥，解壓源碼包并進行安裝添谊。

tar -xf 0.8.14.tar.gz
cd fail2ban-0.8.14
python setup.py install

安裝完成后要手動生成一下程序的啟動腳本。

cp files/redhat-initd /etc/init.d/fail2ban
chkconfig --add fail2ban

使用下列命令檢查Fail2ban是否加入開機啟動項察迟。結(jié)果如下圖所示斩狱。

chkconfig --list fail2ban

image

安裝完成后程序文件都是保存在/etc/fail2ban目錄下，目錄結(jié)構(gòu)如下圖所示扎瓶。

image

其中jail.conf為主配置文件所踊，相關的正則匹配規(guī)則位于filter.d目錄，其它目錄/文件一般很少用到概荷，如果需要詳細了解可自行搜索秕岛。

配置Fail2ban

聯(lián)動iptables

新建jail.local來覆蓋Fail2ban在jail.conf的默認配置。

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
vim /etc/fail2ban/jail.local

對jail.conf做以下兩種修改误证。

1. 防止SSH密碼爆破

   [ssh-iptables]模塊的配置修改如下继薛。其中，port應按照實際情況填寫愈捅。

    [ssh-iptables]
   
    enabled  = true
    filter   = sshd
    action   = iptables[name=SSH, port=22, protocol=tcp]
    logpath  = /var/log/secure
    maxretry = 3
    findtime  = 300
   
   

2. 阻止惡意掃描

   新增[nginx-dir-scan]模塊遏考，配置信息如下。此處蓝谨，port和logpath應按照實際情況填寫灌具。

    [nginx-dir-scan]
   
    enabled = true
    filter = nginx-dir-scan
    action   = iptables[name=nginx-dir-scan, port=443, protocol=tcp]
    logpath = /path/to/nginx/access.log
    maxretry = 1
    bantime = 172800
    findtime  = 300
   
   

   然后在filter.d目錄下新建nginx-dir-scan.conf。

   cp /etc/fail2ban/filter.d/nginx-http-auth.conf /etc/fail2ban/filter.d/nginx-dir-scan.conf
   vim /etc/fail2ban/filter.d/nginx-dir-scan.conf
   
   

   對nginx-dir-scan.conf進行修改譬巫，具體配置信息如下咖楣。

    [Definition]
   
    failregex = <HOST> -.*- .*Mozilla/4.0* .* .*$
    ignoreregex =
   
   

   此處的正則匹配規(guī)則是根據(jù)nginx的訪問日志進行撰寫，不同的惡意掃描有不同的日志特征缕题。

   本文采用此規(guī)則是因為在特殊的應用場景下有絕大的把握可以肯定Mozilla/4.0是一些老舊的數(shù)據(jù)采集軟件使用的UA截歉，所以就針對其做了屏蔽环葵。不可否認Mozilla/4.0 這樣的客戶端雖然是少數(shù)歧蒋，但仍舊存在仪际。因此悠瞬，此規(guī)則并不適用于任何情況。

   使用如下命令宵睦，可以測試正則規(guī)則的有效性记罚。

   fail2ban-regex /path/to/nginx/access.log /etc/fail2ban/filter.d/nginx-dir-scan.conf
   
   

   Fail2ban已經(jīng)內(nèi)置很多匹配規(guī)則，位于filter.d目錄下壳嚎，包含了常見的SSH/FTP/Nginx/Apache等日志匹配桐智，如果都還無法滿足需求，也可以自行新建規(guī)則來匹配異常IP烟馅∷低ィ總之，使用Fail2ban+iptables來阻止惡意IP是行之有效的辦法郑趁，可極大提高服務器安全刊驴。

變更iptables封禁策略

Fail2ban的默認iptables封禁策略為 REJECT --reject-with icmp-port-unreachable，需要變更iptables封禁策略為DROP寡润。

在/etc/fail2ban/action.d/目錄下新建文件iptables-blocktype.local捆憎。

cd /etc/fail2ban/action.d/
cp iptables-blocktype.conf iptables-blocktype.local
vim iptables-blocktype.local

修改內(nèi)容如下：

[INCLUDES]

after = iptables-blocktype.local

[Init]

blocktype = DROP

最后，別忘記重啟fail2ban使其生效梭纹。

systemctl restart fail2ban

Fail2ban常用命令

啟動Fail2ban躲惰。

systemctl start fail2ban

停止Fail2ban。

systemctl stop fail2ban

開機啟動Fail2ban变抽。

systemctl enable fail2ban

查看被ban IP础拨，其中ssh-iptables為名稱，比如上面的[ssh-iptables]和[nginx-dir-scan]瞬沦。

fail2ban-client status ssh-iptables

添加白名單太伊。

fail2ban-client set ssh-iptables addignoreip IP地址 

刪除白名單雇锡。

fail2ban-client set ssh-iptables delignoreip IP地址

查看被禁止的IP地址逛钻。

iptables -L -n

參考資料

1.centos下fail2ban安裝與配置詳解 centos7 下安裝使用fail2ban
2.Linux系統(tǒng)通過fail2ban對暴力破解進行防護
3.fail2ban變更iptables封禁策略為DROP
4.Fail2ban防止網(wǎng)站CC
5.FAIL2BAN ON UBUNTU
6.CentOS7 - 安裝配置Fail2ban教程