主页 / server / 问题 / 1070572
Accepted
LinuxSecurityFreak
Asked: 2021-07-26 02:03:00 +0800 CST

fail2ban 初始设置 - 指导

  • 772

根据我对我的基本理解,iptables我整理了以下旨在运行 Tor 中继的设置......这里大约是 6 小时后。请注意,我不想讨论任何 Tor 操作,所以我不会指向https://tor.stackexchange.com/谢谢。

端口 22 发生了大规模攻击,我醒来时发现了,所以我已经更改了它,密码验证已经被禁用,但是人/机器人无论如何都试图闯入,我有一个 8192 位长的 RSA public/私钥,所以我希望它就足够了。

# iptables -L -v --line-numbers

输出:

Chain INPUT (policy DROP 8242 packets, 735K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       tcp  --  any    any     anywhere             anywhere             ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN /* protection: non-syn packets */
2       10   452 DROP       all  --  any    any     anywhere             anywhere             ctstate INVALID /* protection: malformed packets */
3       20  1000 ACCEPT     all  --  lo     any     anywhere             anywhere             /* loopback: compulsory */
4        3    98 ACCEPT     icmp --  any    any     anywhere             anywhere             icmp echo-request limit: avg 2/sec burst 5 /* ICMP: ping only */
5    16625 9388K ACCEPT     all  --  any    any     anywhere             anywhere             ctstate RELATED,ESTABLISHED /* traffic */
6        7   420 ACCEPT     tcp  --  any    any     anywhere             anywhere             ctstate NEW,ESTABLISHED tcp dpt:xxyyzz /* SSH: global obfuscated */  <-- CENSORED
7      438 26080 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:9001 /* Tor: OR */
8      558 30828 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:9030 /* Tor: Dir */

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 16969 packets, 6369K bytes)
num   pkts bytes target     prot opt in     out     source               destination

我想部署fail2ban,但我从未使用过它,所以我找到了几个指南来设置它,但我相信我们应该在这个网站上有一些例子,我确实发现了太多的结果,但与初始设置fail2ban无关?fail2ban

如果由于某种原因无法在此处完成,请发表评论,稍后我将删除此问题。

系统:Debian GNU/Linux 11 (bullseye)openssh-server用于 ssh 服务。

先感谢您!

PS:迁移自https://security.stackexchange.com/

ssh fail2ban

1 个回答

  1. Best Answer

    在 deb 上安装 f2b 相当简单。我之前写过一篇文章(https://dev.slickalpha.blog/2019/11/installing-lemp-stack-on-debian-buster.html#sv-fail2ban)。

    首先你安装 f2b

    apt install fail2ban -y

    复制配置到本地

    cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

    并对本地文件进行编辑

    nano /etc/fail2ban/jail.local

    更新默认值(端口 22 在 f2b 上已预先启用)

    [DEFAULT]
...
# MISCELLANEOUS OPTIONS...
bantime  = 86400
findtime  = 86400
maxretry = 2`

    重启 f2b

    /etc/init.d/fail2ban restart

    检查 sshd 22 的状态

    fail2ban-client status sshd

    除此之外,使用带有密码的密钥就足够了。您可以随时微调 f2b。

    更新:

    Fail2ban 基本上使用正则表达式过滤器检查 IP 日志,并使用 iptables 阻止匹配 IP。

    列出启用的监狱(f2b 中服务的正则表达式过滤器)

    fail2ban-client status

    为了保护自定义端口或服务,

    检查该服务的正则表达式过滤器是否存在

    ls /etc/fail2ban/filter.d

    如果它们存在,比如说jail-name.conf,只需在 f2b 本地文件上启用它们

    nano /etc/fail2ban/jail.local

    在语法下

    [jail-name]
..options..

    假设如果 sshd 未启用,则添加enabled = true到 sshd 监狱

    [sshd]
enabled = true
....

    根据您的日志测试监狱并在缺少时更新正则表达式

    fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf

    如果服务或端口不存在监狱,请在线检查这些过滤器,并将这些过滤器添加到/etc/fail2ban/filter.d本地配置文件并启用它。

    • 1

相关问题