主页 / server / 问题 / 602279
Accepted
Jimmy
Asked: 2014-06-07 00:43:51 +0800 CST

使用 fail2ban 或 iptables 保护 debain

  • 772

我正在寻找保护我的服务器的安全。最初我的第一个想法是使用iptables但后来我也了解了Fail2ban。我知道 Fail2ban 是基于 iptables 的,但它具有在多次尝试后能够禁止 IP 的优点。

假设我想完全阻止 FTP:

  1. 我是否应该编写一个单独的 IPtable 规则来阻止 FTP,并将 Fail2ban 仅用于 SSH
  2. 或者简单地将所有规则,甚至是 Fail2Ban 配置中的 FTP 阻止规则

对此的任何帮助将不胜感激。

詹姆士

linux

4 个回答

  1. 如果您想完全阻止 FTP,最简单和最安全的方法是简单地禁用 FTP 守护程序。但是,如果您想保护来自 Internet 的 FTP,您应该使用 fail2ban,它扩展了 IPtable 功能并允许您阻止特定的可疑 IP。如果您打算在本地使用 FTP 并阻止 Internet,那么您应该使用 IPtables。

    • 3
  2. Best Answer

    回答您的具体问题。

    • 如果您不使用 FTP,那么您不应该安装任何 ftp 守护程序。
    • SFTP 是 sshd 的一部分,您可以配置 sshd 来禁用它
      • 注释掉它的指令,例如# Subsystem sftp /usr/lib/openssh/sftp-server/etc/ssh/sshd_config
    • 使用 iptables 策略来帮助您 - 使 POLICY DROP。
    • Fail2ban 仅对阻止持久的“违规者”有用。

    为了回答您更一般的问题, Scott Pack写了一个出色的回答Tips for Securing a LAMP Server,即使您的服务器不是专门的 LAMP(或类似服务器),它也会包含您会发现有用的信息。就在今天, Scott 还在iptables 上发表了这篇出色的博文。你有很多阅读要完成。

    • 2

  3. Fail2Ban 旨在在(配置的)错误次数尝试访问已打开的服务后禁止 IP。因此,如果您想阻止外部网络的 FTP,您应该使用 iptables。但是如果你想完全阻止 FTP,你可以随时停止服务本身。

    • 1

  4. 要完全阻止您需要 iptables,而不是 fail2ban。Fail2ban 仅阻止触发恶意检测的站点。

    • 将fail2ban放在您必须对互联网开放的服务上(例如您的问题中的SSH)
    • 将 iptable 块放在您希望仅在内部激活的任何服务上,否则会被阻止(例如,您的问题中的 FTP)
    • 还将 iptable 规则放在您仅从特定 IP 地址使用的服务上

    您只需更改 SSH 之类的默认端口,这将阻止 99.999% 的所有扫描和黑客尝试。如果您的 SSH 位于非默认端口上,那么当您检测到恶意活动时,您可以假设它实际上很严重。

    • 1

相关问题