2010/11/01

Fail2ban 杜絕很煩人的 bot-net 攻擊

fail2ban 是一個針對 log 檔案中密碼輸入錯誤的紀錄,然後更新防火牆規則
進行 ban ip 動作的服務,可以有效的對付 bot-net 的惡意掃瞄程式

在 rhel/centos 的版本中如果要安裝需要安裝 EPEL 的套件

下載:
http://www.fail2ban.org/wiki/index.php/Downloads

EPEL 是針對 fedora 中沒有被收錄在 rhel 的套件,做打包彙整。提供給 rhel 使用的套件。
如果要安裝 EPEL 套件來源方法很簡單,請在系統的 /etc/yum.repos.d/ 目錄建立一個檔案 epel.repo
並且放入底下的內容,皆下來安裝軟體的時候就會更新了。底下是以 5 版 x86_64 為安裝來源
如果你的版本比較新,請觀看官方網站找比較新的安裝來源。
http://fedoraproject.org/wiki/EPEL
[root@lab yum.repos.d]# nano epel.repo
[epel5]
enabled = 1
name = epel 5
baseurl = http://mirror01.idc.hinet.net/EPEL/5/x86_64/
gpgcheck = 0

[epel5Server]
enabled = 1
name = epel 5Server
baseurl = http://mirror01.idc.hinet.net/EPEL/5Server/x86_64/
gpgcheck = 0

[epel5Client]
enabled = 1
name = epel 5Client
baseurl = http://mirror01.idc.hinet.net/EPEL/5Client/x86_64/
gpgcheck = 0

* 安裝好後,就可以透過 yum 安裝 fail2ban 軟體
# 安莊 fail2ban
[root@lab ~]# yum install fail2ban
# 因為他是各服務,需要重新啟動
[root@lab ~]# /etc/init.d/fail2ban restart

* 驗證看有沒有在跑 ps -auxww
root 11384 0.0 0.7 175836 4920 ? Sl 14:49 0:00
/usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/fail2ban/fail2ban.sock -x

系統服務設定檔 /etc/fail2ban/fail2ban.conf

服務監控的設定檔 /etc/fail2ban/jail.conf 格式類似底下這樣,需要啟動的服務把 enabled 設定為 true 即可
[ssh-iptables]

enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=root, sender=fail2ban@mail.com]
logpath = /var/log/secure
maxretry = 5

沒有留言: