生产环境中的 apache 服务器可能会受到不同的攻击。攻击者或许试图通过暴力攻击或者执行恶意脚本来获取未经授权或者禁止访问的目录。一些恶意爬虫或许会扫描你网站下的各种安全漏洞,或者通过收集email地址和web表单来发送垃圾邮件。
apache服务器具有全面的日志功能,可以捕捉到各种攻击所反映的异常事件。然而,它还不能系统地解析具体的apache 日志并迅速地对潜在的攻击进行反应(比如,禁止/解禁ip地址)。这时候<code>fail2ban</code>可以解救这一切,解放了系统管理员的工作。
<code>fail2ban</code>是一款入侵防御工具,可以基于系统日志检测不同的工具并且可以自动采取保护措施比如:通过<code>iptables</code>禁止ip、通过 /etc/hosts.deny 阻止连接、或者通过邮件发送通知。fail2ban具有一系列预定义的“监狱”,它使用特定程序日志过滤器来检测通常的攻击。你也可以编写自定义的规则来检测来自任意程序的攻击。
<a target="_blank"></a>
<code>[ssh]</code>
<code>enabled = true</code>
<code>port = ssh</code>
<code>filter = sshd</code>
<code>logpath = /var/log/auth.log</code>
<code>maxretry = 6</code>
<code>banaction = iptables-multiport</code>
ssh监狱的配置定义了这些参数:
[ssh]: 方括号内是监狱的名字。
enabled:是否启用监狱
port: 端口号(或者对应的服务名称)
filter: 检测攻击的日志解析规则
logpath: 所检测的日志文件
maxretry: 最大失败次数
banaction: 所进行的禁止操作
定义在监狱配置中的任意参数都会覆盖<code>fail2ban-wide</code> 中相应的默认配置参数。相反,任何缺少的参数都会使用定义在[default] 字段的默认值。
预定义的日志过滤器都放在/etc/fail2ban/filter.d,而可以采取的禁止操作放在 /etc/fail2ban/action.d。
如果你想要覆盖<code>fail2ban</code>的默认操作或者定义任何自定义监狱,你可以创建/etc/fail2ban/jail.local*文件。本篇教程中,我会使用/etc/fail2ban/jail.local。
<code>fail2ban</code>的默认安装为apache服务提供了一些预定义监狱和过滤器。我要启用这些内建的apache监狱。由于debian和redhat配置的稍微不同,我会分别提供它们的配置文件。
要在基于debian的系统上启用预定义的apache监狱,如下创建/etc/fail2ban/jail.local。
<code>$ sudo vi /etc/fail2ban/jail.local</code>
<code># 检测密码认证失败</code>
<code>[apache]</code>
<code>enabled = true</code>
<code>port = http,https</code>
<code>filter = apache-auth</code>
<code>logpath = /var/log/apache*/*error.log</code>
<code>maxretry = 6</code>
<code></code>
<code># 检测漏洞和 php 脆弱性扫描</code>
<code>[apache-noscript]</code>
<code>filter = apache-noscript</code>
<code># 检测 apache 溢出攻击</code>
<code>[apache-overflows]</code>
<code>filter = apache-overflows</code>
<code>maxretry = 2</code>
<code># 检测在服务器寻找主目录的尝试</code>
<code>[apache-nohome]</code>
<code>filter = apache-nohome</code>
由于上面的监狱没有指定措施,这些监狱都将会触发默认的措施。要查看默认的措施,在/etc/fail2ban/jail.conf中的[default]下找到“banaction”。
本例中,默认的操作是iptables-multiport(定义在/etc/fail2ban/action.d/iptables-multiport.conf)。这个措施使用iptable的多端口模块禁止一个ip地址。
在启用监狱后,你必须重启fail2ban来加载监狱。
<code>$ sudo service fail2ban restart</code>
要在基于红帽的系统中启用预定义的监狱,如下创建/etc/fail2ban/jail.local。
<code>logpath = /var/log/httpd/*error_log</code>
<code># 检测抓取邮件地址的爬虫</code>
<code>[apache-badbots]</code>
<code>filter = apache-badbots</code>
<code>logpath = /var/log/httpd/*access_log</code>
<code>bantime = 172800</code>
<code>maxretry = 1</code>
<code># 检测执行不存在的脚本的企图</code>
<code># 这些都是流行的网站服务程序</code>
<code># 如:webmail, phpmyadmin,wordpress</code>
<code>filter = apache-botsearch</code>
注意这些监狱文件默认的操作是iptables-multiport(定义在/etc/fail2ban/jail.conf中[default]字段下的“banaction”中)。这个措施使用iptable的多端口模块禁止一个ip地址。
启用监狱后,你必须重启fail2ban来加载监狱。
在 fedora 或者 centos/rhel 7中:
<code>$ sudo systemctl restart fail2ban</code>
在 centos/rhel 6中:
监狱一旦激活后,你可以用fail2ban的客户端命令行工具来监测当前的禁止状态。
查看激活的监狱列表:
<code>$ sudo fail2ban-client status</code>
查看特定监狱的状态(包含禁止的ip列表):
<code>$ sudo fail2ban-client status [监狱名]</code>
你也可以手动禁止或者解禁ip地址:
要用制定监狱禁止ip:
<code>$ sudo fail2ban-client set [name-of-jail] banip [ip-address]</code>
要解禁指定监狱屏蔽的ip:
<code>$ sudo fail2ban-client set [name-of-jail] unbanip [ip-address]</code>
本篇教程解释了fail2ban监狱如何工作以及如何使用内置的监狱来保护apache服务器。依赖于你的环境以及要保护的web服务器类型,你或许要调整已有的监狱或者编写自定义监狱和日志过滤器。
你有在生产环境中使用fail2ban么?分享一下你的经验吧。
----------------------------------------------------------------------------------------------------------------------------