VPS/云主机等
优惠信息分享

宝塔面板6.X安装fail2ban+Firewalld防止CC攻击

CC(Challenge Collapsar)攻击者会利用一个或多个 IP (通过代理服务器或肉鸡)向您的网站频繁发起请求,直到服务器资源耗尽,甚至宕机崩溃。

fail2ban是由Python语言开发监控软件,通过监控系统日志的登录信息来调用iptables屏蔽相应登录IP,以阻止某个IP恶意访问。因为CentOS 7已经自带Firewalld,并且使用Firewalld作为网络防火墙更加简单方便,而且宝塔面板可以在文件管理中编辑jail.conf,无形中也降低了使用难度。今天我们就来谈谈巧用fail2ban+ Firewalld防止爆破与CC攻击。

一:安装fail2ban

宝塔面板默认的是Firewalld已经是在运行了,而且宝塔面板自带的安全设置也是基于Firewalld,所以和fail2ban搭配起来使用也是更简单。fail2ban对应日志文件,Debian/Ubuntu:/var/log/auth.log、CentOS/Redhat:/var/log/secure。命令如下:

apt-get install fail2ban#CentOS内置源并未包含fail2ban,需要先安装epel源,宝塔面板默认安装好了epel源,可以不用安装这个。直接安装fail2ban即可。yum -y install epel-release#安装fail2banyum -y install fail2ban

fail2ban安装好之后,如下显示,如图:

bt-panel-fail2ban-1-min

这样就安装好了fail2ban。安装成功后fail2ban配置文件位于/etc/fail2ban,其中jail.conf为主配置文件,相关的匹配规则位于filter.d目录,其它目录/文件一般很少用到,如果需要详细了解可自行搜索。宝塔面板使用fail2ban相对来说会很方便,我们可以在文件管理中找到并且编辑,路径是:/etc/fail2ban,图示:

bt-panel-fail2ban-2-min

二:配置规则

安装完成后主要的配置文件在/etc/fail2ban目录下,简单介绍如下:

fail2ban.conf :配置文件里面定义了fail2ban记录的日志等级、日志文件的位置以及socket。

jail.conf 里面定义了对那些服务进行监控,以及使用的一些策略。

jail.conf 里面开头是默认全局配置块[DEFAULT],默认配置规则说明如下:(宝塔面板用户编辑jail.conf,我们从47行开始)!

[DEFAULT]#忽略哪些IP,可以是具体IP、CIDR类型的地址,多个IP用空格或都好分开,这里相当于ip地址白名单,还需要注意把自己的IP加入白名单,动态IP的可以绑定一个白名单域名,这样防止防止自己不小心测试或者什么的,被BAN了,自己的服务器都连接不上ignoreip = 127.0.0.1/8#设置IP被锁住的时间,单位为秒bantime  = 600#检测时间,在此时间内超过规定的次数会激活fail2banfindtime  = 600#尝试的次数maxretry = 3#日志检测机器,有"gamin", "polling" and "auto"三种模式。backend = polling#发送报警邮件的地址destemail = root@localhost #默认的动作执行行为,在action.d目录下有各种行为策略banaction = iptables-multiport#0.8.1版本后fail2ban默认用sendmail MTAmta = sendmail#默认使用tcp协议protocol = tcp#定义了各种行动的参数#banaction参数在action.d目录下具体定义,name port protocol 也可以自己定义#只禁止IPaction_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]#即禁止IP又发送emailaction_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]  %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]#禁止IP、发送email、报告有关日志  action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]   %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]#如果没有定义行为,则默认的行为为action,可选择action_,action_mw, action_mwl 等action = %(action_)s默认配置文件含有此模块#定义子模块名[ssh]#是否激活enabled = true#定义port,可以是数字端口号表示,也可以是字符串表示port= ssh#过滤规则,在filter.d目录下定义filter= sshd#检测日志的路径logpath  = /var/log/auth.log#尝试的次数,覆盖了全局配置的maxretry = 6#banaction 在action.d目录下定义,此参数值会替换action中选用的默认行为中定义的banaction参数banaction = iptables-allports#注意 port protocol banaction 可以不用分开定义,直接使用action定义也可以,例如:#action   = iptables[name=SSH, port=ssh, protocol=tcp]#在子模块中定义的port protocol banaction 都会在action_ action_mw, action_mwl中替换成具体的设置值。

三:CC攻击示例和ssh爆破

Fail2ban服务的配置文件在/etc/fail2ban目录。在其中可以找到jail.conf配置文件,我不会直接编辑这个文件,因为在升级软件包时,会覆盖这个文件,使配置失效。我们应该创建一个新文件jail.local,在jail.local定义的值会覆盖jail.conf中的值。

3.1.我们来创建一个jail.local文件:

vi  /etc/fail2ban/jail.local

宝塔面板直接在文件管理中新建文件即可,文件名为jail.local 配置如下:

#默认配置[DEFAULT]ignoreip = 127.0.0.1/8bantime  = 86400findtime = 600maxretry = 5#这里banaction必须用firewallcmd-ipset,这是fiewalll支持的关键,如果是用Iptables请不要这样填写banaction = firewallcmd-ipsetaction = %(action_mwl)s

简单说明:

  • ignoreip:IP白名单,白名单中的IP不会屏蔽,可填写多个以(,)或者空格 分隔
  • bantime:屏蔽时间,单位为秒(s)
  • findtime:时间范围
  • maxretry:最大次数
  • banaction:屏蔽IP所使用的方法,上面使用firewalld屏蔽端口

注意:fail2ban 在用的时候,把自己的IP加入白名单,动态IP的可以绑定一个白名单域名,这样防止防止自己不小心测试或者什么的,被BAN了,自己的服务器都连接不上(大鸟本地测试就这样连不上服务器了。)

3.2 防止SSH爆破

继续修改jail.local这个配置文件,在后面追加如下内容:

[sshd]enabled = truefilter  = sshdport    = 22action = %(action_mwl)slogpath = /var/log/secure
  • [sshd]:名称,可以随便填写
  • filter:规则名称,必须填写位于filter.d目录里面的规则,sshd是fail2ban内置规则
  • port:对应的端口
  • action:采取的行动
  • logpath:需要监视的日志路径

到这一步,我们jail.local的规则看起来可能像下面这样子:

[DEFAULT]ignoreip = 127.0.0.1/8bantime  = 86400findtime = 600maxretry = 5banaction = firewallcmd-ipsetaction = %(action_mwl)s[sshd]enabled = truefilter  = sshdport    = 22action = %(action_mwl)slogpath = /var/log/secure

上面的配置意思是如果同一个IP,在10分钟内,如果连续输入5次错误,则使用Firewalld将他IP ban了。输入systemctl start fail2ban启动fail2ban来试试效果。当然了,你修改一个奇葩点的ssh端口,也不用这个规则了,这里只是为了大家能理解的深刻一点,故意多讲这么几句。

3.3 创建一个nginx-cc.conf

filter.d 目录里面定义的是根据日志文件进行过滤的规则,主要是利用正则匹配出现错误的关键字。所以我们新建的规则都是放在filter.d 目录。

vi /etc/fail2ban/filter.d/nginx-cc.conf

宝塔面板直接在这个路径下面新建文件,命名为nginx-cc.conf即可。

3.4 Fail2ban防CC攻击示例规则:

我们在新建好的nginx-cc.conf中填写如下内容:

#填写如下内容[Definition]failregex = <HOST> -.*- .*HTTP/1.* .* .*$ignoreregex =

3.5 继续修改jail.local追加如下内容:

[nginx-cc]enabled = trueport = http,httpsfilter = nginx-ccaction = %(action_mwl)smaxretry = 20findtime = 60bantime = 3600logpath = /www/wwwlogs/www.daniao..org.log;

上面的配置意思是如果在60s内,同一IP达到20次请求,则将其IP ban 1小时,记得修改你的网站日志路径。上面只是为了测试,请根据自己的实际情况修改。logpath为nginx日志路径。使用以下命令查看fail2ban状态,大鸟自己小测试了下,果然打不开网页了,说明IP被ban了,可以输入:fail2ban-client status sshd查看被ban的IP,如下截图。

bt-panel-fail2ban-3-min

都到了这一步,我们可以看看这份jail.local中总的规则如下:

[DEFAULT]ignoreip = 127.0.0.1/8bantime  = 86400findtime = 600maxretry = 5banaction = firewallcmd-ipsetaction = %(action_mwl)s[sshd]enabled = truefilter  = sshdport    = 22action = %(action_mwl)slogpath = /var/log/secure[nginx-cc]enabled = trueport = http,httpsfilter = nginx-ccaction = %(action_mwl)smaxretry = 20findtime = 60bantime = 3600logpath = /www/wwwlogs/www.daniao.org.log

sshd那个规则一般是不需要的,大鸟也是承接了上面的规则统一下来,希望了解。当然,每改动一次,别忘记输入systemctl restart fail2ban重启fail2ban使其生效。

3.6 常用命令

#查看当前版本fail2ban-server -V#启动fail2ban服务systemctl start fail2ban#停止systemctl stop fail2ban#开机启动systemctl enable fail2ban#查看被ban IP,其中sshd为名称fail2ban-client status sshd#删除被ban IPfail2ban-client set sshd delignoreip 192.168.111.111#查看日志tail /var/log/fail2ban.log#启动后验证fail2ban是否正常运行正常响应内容为Server replied: pongfail2ban-client ping

五:总结

使用Fail2ban应用一般的CC攻击基本上没有什么问题,当然这也不是最好的选择,大鸟之前讲过:宝塔面板6.X开启隐藏的 waf 防火墙的方法。对于简单的cc防护也有效果,当然,我们还可以编译安装云锁来防止cc,启用Cloudflare防攻击模式:主要作用是访问任何页面的时候强制在 CF 的认证页面停留 5 秒,效果非常好用。对应文章大鸟也讲过了【CloudFlare使用方法-DNS解析,SSL证书,防DDoS(5秒盾)攻击和免费CDN加速】里面提到了5秒盾的用法。

当然,我们使用fail2ban + Firewalld来阻止恶意IP是行之有效的办法,可极大提高服务器安全。但是大鸟在安装宝塔面板的服务器上使用fail2ban并非易事,宝塔面板强行修改的东西太多了。到不如lnmp的纯环境来的流畅。

参考:

https://www.cnblogs.com/carbon3/p/5607704.html

https://www.xiaoz.me/archives/9831

https://blog.whsir.com/post-3063.html

https://my.oschina.net/guol/blog/52219

赞(0)
未经允许不得转载:遗弃你|YIQINI.COM » 宝塔面板6.X安装fail2ban+Firewalld防止CC攻击

评论 抢沙发

评论前必须登录!

 

登录

找回密码

注册