在Debian 9上,如何设置Fail2ban
Zhongy0410
・5 分钟阅读
Fail2ban,顾名思义,这是一个旨在帮助保护Linux机器免受选定的开放端口(特别是SSH端口)的暴力攻击的实用程序。为了系统功能和管理,不能使用防火墙关闭这些端口,在这种情况下,使用Fail2ban作为防火墙的补充安全措施来限制这些端口上的攻击是一个好主意。
在本文中,我将介绍如何安装和配置Fail2ban,以在 Debian 9服务器实例上保护SSH端口,这是最常见的攻击目标。
前提条件
- 一个全新的Debian 9(Stretch)服务器实例,
- 作为
root
登录, - 所有未使用的端口都被适当的IPTables规则阻止,
步骤1:更新系统
apt update && apt upgrade -y
shutdown -r now
系统启动后,以root
的形式重新登录。
步骤2:修改SSH端口(可选)
由于默认的SSH端口号22太受欢迎,因此将它更改为较少的端口号,38752是一个聪明的做法。
sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service
修改之后,你需要相应地更新IPTables规则:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT
将更新的IPTables规则保存到文件以进行持久性:
iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables
按照这种方式,即使在系统重启后IPTables规则仍然是持久的,从现在开始,你将需要从38752
端口登录。
步骤3:安装并配置fail2ban以保护SSH
使用apt
安装当前为0.9.x
的Fail2ban的稳定版本:
apt install fail2ban -y
安装完成后,Fail2ban服务将自动启动,可以使用以下命令显示其状态:
service fail2ban status
在Debian上,默认的Fail2ban过滤器设置将存储在/etc/fail2ban/jail.conf
文件和,/etc/fail2ban/jail.d/defaults-debian.conf
注意,后一个文件中的设置将覆盖前一个文件中的相应设置。
使用以下命令查看更多详细信息:
cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd
有关你的信息,下面列出了关于SSH的代码摘录:
在/etc/fail2ban/jail.conf
中:
[DEFAULT]
bantime = 600
...
maxentry = 5
[sshd]
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
在 /etc/fail2ban/jail.d/defaults-debian.conf
:
[sshd]
enabled = true
由于上述两个配置文件中的内容可能在以后的系统更新中更改,因此应该创建一个本地配置文件来存储自己的fail2ban ,同样,此文件中的设置将覆盖上面提到的两个文件中的相应设置。
vi /etc/fail2ban/jail.d/jail-debian.local
输入以下行:
[sshd]
port = 38752
maxentry = 3
注意:一定要使用你自己的SSH端口,除了上面提到的port
和maxentry
之外,所有其他设置都将使用默认值。
保存和退出:
:wq
重新启动Fail2ban服务以加载新配置:
service fail2ban restart
我们的设置已经完成。 从现在开始,如果任何计算机向Debian服务器的自定义SSH端口(38752)发送错误的SSH凭据超过三次,则此潜在恶意计算机的IP将被禁止600秒。