力保密码安全fail2ban防暴力破解实战

发布时间：2020-01-14 18:03:45 阅读：次来源：纸桶厂家

第1页：网管发现邮件系统遭遇暴力破解威胁

安全在线，一路随行。话说作为网管需要随时监控系统运行状况，更要对异常情况作出有力的反击。此次网管员和黑客之间的战争，起源是这样的：一天下午，网管员突然收到Nagios的报警邮件，说邮件服务器的进程数超过阀值。警觉的网管员于是赶紧登录上去查看。

这里说下分析的过程：

1.既然说进程数超过阀值，肯定先查看进程：ps -ef；

2.如果不能即时看到问题，那就动态显示：top，看看究竟是哪个程序占用这么多进程；

3.最后确定了应该是courier-imap，但还不知道是什么原因导致；

4.查看ip连接，确认是否是其存在问题：netstat -ant，发现有大量的110连接；

5.既然是收信服务，那就赶紧追踪查看邮件日志：tail -f /var/log/maillog；

6.发现问题：日志里有大量的登录错误信息，发现是同一ip，并在用不同的用户名密码来暴力破解

7.稍等一会，确定目标IP后，将其ip的包丢弃：iptables -I INPUT -s 176.61.143.41 -j DROP #此ip为真实攻击ip，所以在此曝光8.稍等一会，再次查看进程，进程数有明显下降，故障解决。

第2页：除隐患fail2ban防暴力破解工具安装

介于这种安全隐患的存在，我们以后可以利用fail2ban来实现防暴力破解，防止恶意攻击。

下面就来说说fail2ban具体是什么。

简介：

fail2ban可以监视你的系统日志，然后匹配日志的错误信息（正则式匹配）执行相应的屏蔽动作（一般情况下是调用防火墙屏蔽），如：当有人在试探你的SSH、SMTP、FTP密码，只要达到你预设的次数，fail2ban就会调用防火墙屏蔽这个IP，而且可以发送e-mail通知系统管理员，是一款很实用、很强大的软件！

功能和特性：

1、支持大量服务。如sshd，apache，qmail，proftpd，sasl等等

2、支持多种动作。如iptables，tcp-wrapper，shorewall(iptables第三方工具)，mail notifications(邮件通知)等等。

3、在logpath选项中支持通配符

4、需要Gamin支持(注：Gamin是用于监视文件和目录是否更改的服务工具)

5、需要安装python，iptables，tcp-wrapper，shorewall，Gamin。如果想要发邮件，那必需安装postfix或sendmail

核心原理：

其实fail2ban就是用来监控，具体是调用iptables来实现动作！

好了，那下面来说说具体怎么安装、部署吧。

一、首先是服务安装

首先配置yum源，这里采用的是yum直接装（也可源码安装）

vim /etc/pos.d/po

在最后新增：

01.[atrpms]

=Red Hat Enterprise Linux $releasever - $basearch - ATrpms

seurl=http：//$releasever-$basearch/atrpms/stable

gkey=http：//

gcheck=1

abled=1

然后直接就yum装：yum -y install fail2ban

安装完成后，服务配置目录为：/etc/fail2ban

/etc/fail2ban/action.d #动作文件夹，内含默认文件。iptables以及mail等动作配置

/etc/fail2ban/nf #定义了fai2ban日志级别、日志位置及sock文件位置

/etc/fail2ban/filter.d #条件文件夹，内含默认文件。过滤日志关键内容设置

/etc/fail2ban/nf #主要配置文件，模块化。主要设置启用ban动作的服务及动作阀值

/etc/rc.d/init.d/fail2ban #启动脚本文件

第3页：配置fail2ban有效阻止暴力破解行为

安装后配置

首先来看看日志文件的默认定义：

cat /etc/fail2ban/nf |grep -v ^#

01.[Definition]

glevel = 3

gtarget = SYSLOG #我们需要做的就是把这行改成/var/log/g，方便用来记录日志信息

cket = /var/run/fail2ban/ck

再来看看主配置默认生效的配置：

cat /etc/fail2ban/nf |grep -v ^# |less

01.[DEFAULT] #全局设置

noreip = 127.0.0.1 #忽略的IP列表，不受设置限制（白名单）

ntime = 600 #屏蔽时间，单位：秒

ndtime = 600 #这个时间段内超过规定次数会被ban掉

xretry = 3 #最大尝试次数

ckend = auto #日志修改检测机制（gamin、polling和auto这三种）

07.

08.[ssh-iptables] #针对各服务的检查配置，如设置bantime、findtime、maxretry和全局冲突，服务优先级大于全局设置

abled = true #是否激活此项（true/false）

lter = sshd #过滤规则filter的名字，对应filter.d目录下的nf

tion = iptables[name=SSH， port=ssh， protocol=tcp] #动作的相关参数

12. sendmail-whois[name=SSH， dest=root， sender=fail2ban@] #触发报警的收件人

gpath = /var/log/secure #检测的系统的登陆日志文件

xretry = 5 #最大尝试次数

PS：logpath(Centos5和Rhel5中)要写成/var/log/secure，这个是系统登陆日志，不能随意设置

service fail2ban start #启动服务即可（就用默认的主配置文件里定义的）

service iptables start #fail2ban依赖预iptables

#之前改过日志路径，不行的话就再重启fail2ban

三、测试功能

测试机：192.168.30.251

fail2ban：192.168.29.253

在测试机上ssh 192.168.29.253，并且连续输入超过5次密码不对（经测试有延迟，多试几次），就会出现下图，连接不上

fail2ban上会产生日志记录：阻挡了此ip的续连