1. 首页>
  2. 腾讯云代理

[经验分享] 腾讯云主机安全攻略5&续

腾讯云 2017年04月23日 浏览743

腾讯云代理 腾讯云直播申请 游戏上云

摘要:

1.下载安装:

在基于debian系统下安装fail2ban是非常畅快的。以root用户执行下列命令

# apt-get install fail2ban

在GNU/Linux 系统上源码安装,为了编译Fail2ban,你需要下载最新的源码(http://sourceforge.net/projects/fail2ban )。当获取后,你可以该改变你的源码目录,并执行下列命令:

#tar xvjf fail2ban-x.x.x.tar.bz2

你会在当前工作目录下得到一个Fail2ban的解压后的源码目录。你须CD到新的目录中。现在以root用户执行安装:

#./**p.py install

Fail2ban 会安装在 /usr/share/fail2ban/ 和 /usr/bin/目录中,装好后,稍微根据自己的情况改一下配置就可以使用了。

2.系统配置

一个典型的配置文件如下:

/etc/fail2ban/
├── action.d
│   ├── dummy.conf
│   ├── hostsdeny.conf
│   ├── iptables.conf
│   ├── mail-whois.conf
│   ├── mail.conf
│   └── shorewall.conf
├── fail2ban.conf
├── fail2ban.local
├── filter.d
│   ├── apache-auth.conf
│   ├── apache-noscript.conf
│   ├── couriersmtp.conf
│   ├── postfix.conf
│   ├── proftpd.conf
│   ├── qmail.conf
│   ├── sasl.conf
│   ├── sshd.conf
│   └── vsftpd.conf
├── jail.conf
└── jail.local

每个.conf文件都会被名为 .local的文件覆盖。.conf首先被读取,其次是.local。新的配置会覆盖早先的。因此,.local 文件不必包含每个相应于.conf中的选项,只是填写你想要覆盖的设置。

首先编辑fail2ban.conf

#vi /etc/fail2ban.conf                         #以 daemon 方式启动 fail2ban
background = true                          #允许尝试次数
maxfailures = 3                           #触发 maxfailures 之後的封锁时间(秒); 设为 -1 表示永远封锁
bantime = 3600                             #以 findtime (秒) 时间内的错误记录作为 maxfailures 的计数基准
findtime = 600                             #排除 IP 范围, 以空白隔开
ignoreip = 127.0.0.1 192.168.0.0/24        #不启用 mail 通知
[MAIL]enabled = false                      #修改自 VSFTPD, 未提及的部份保持原设定
[PROFTPD]enabled = true
logfile = /var/log/proftpd/proftpd.log
failregex = no such user|Incorrect password #未提及的部份保持原设定
[SSH]enabled = true
logfile = /var/log/secureservice fail2ban

开始启动这个服务启动以后,每天都能在 /var/log/fail2ban.log 中看到有攻击的肉鸡被 ban 了。

下面一步就复制初始化脚本到系统的 /etc/init.d 目录下,执行chkconfig 和update-rc.d或手工创建一个符号链接,设置权限

# chmod 755 /etc/init.d/fail2ban
#chkconfig -a fail2ban
#ln -s /etc/init.d/fail2ban /etc/rc2.d/S20fail2ban

最后,整合fail2ban到日志循环中

创建文件:"/etc/logrotate.d/fail2ban": 
/var/log/fail2ban.log {
    weekly
    rotate 7
    missingok
    compress
    postrotate
      /usr/local/bin/fail2ban-client reload 1>/dev/null || true
    endscript

最后是Iptables微调,只允许每组IP同时5个21端口转发 ,类似功能大家可以去发挥。

#iptables -A FORWARD -p tcp --syn --dport 21 -m connlimit --connlimit-above 5 --connlimit-mask 24 -j DROP

好了,经过安装、配置下面我们看看使用它的效果吧,先浏览一下iptables

#iptables -L -nv
pkts  bytes  target        protopt in     out     source       destination         
301   12740  fail2ban-ftp  tcp --  *       *     0.0.0.0/0      0.0.0.0/0       tcp dpt:21 
3354   253K  fail2ban-SSH  tcp --  *       *     0.0.0.0/0      0.0.0.0/0       tcp dpt:22 
438   33979  fail2ban-httpdtcp --  *       *     0.0.0.0/0      0.0.0.0/0       tcp dpt:80
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 5703 packets, 829K bytes)
pkts bytes target     prot opt in     out     source               destination         
Chain fail2ban-SSH (1 references)
pkts bytes target     prot opt in     out     source               destination         
3354 253K RETURN     all -- *      *       0.0.0.0/0            0.0.0.0/0           
Chain fail2ban-ftp (1 references)
pkts bytes target     prot opt in     out     source               destination         
301 12740 RETURN     all -- *      *       0.0.0.0/0            0.0.0.0/0           
Chain fail2ban-httpd (1 references)
pkts bytes target     prot opt in     out     source               destination         
438 33979 RETURN     all -- *      *       0.0.0.0/0            0.0.0.0/0

查看fail2ban的日志

通过以下命令就能方便的查看到被记录的非法暴力破解IP

# cat fail2ban.log | grep '] Ban '

最后,我们要注意fail2ban是一个日志分析器,在写入日志前不会做任何事情。大多数系统日志守护进程都会缓冲他们的输出。这可能会和fail2ban性能有所冲突。因此,最好能禁止缓冲你的系统日志守护进程,以提高性能。目前来看,只要FTP服务器希望让正常用户使用,要完全杜绝FTP暴力破解攻击就会很难,因此要从细微之处入手,尽量降低被暴力破解的概率。



腾讯云服务商邀请关注:

http://partners.qcloud.com/invitation/99377079157835da208bd0

关注服务商的链接,提供下您关注的QQ,我们这边审核下即可快速回复您的工单问题与技术支持! 感谢您的信任与支持!

auto_1452.png

腾讯云技术交流群


ps:本站信息来源于 bbs.qcloud.com

相关文章

在线客服
淘宝购买
腾讯云直播申请 title=
+成为腾讯云VIP客户 腾讯云直播申请 客服电话

15818558013

0755-33940501-803

0755-33940501-808