Fail2ban用Python撰寫，是一種免費的開源預(yù)防系統(tǒng)（ IPS ），可保護服務(wù)器免受蠻力攻擊。

在指定數(shù)量的不正確密碼嘗試後，禁止客戶端的IP地址在指定的期間訪問系統(tǒng)，或直到系統(tǒng)管理員解除阻止它。這樣，該系統(tǒng)就可以免受來自單個主機的重複蠻力攻擊。

[您可能還喜歡：如何保護和硬化OpenSSH服務(wù)器]

Fail2BAN具有高度配置，可以設(shè)置以確保無數(shù)服務(wù)，例如SSH ， VSFTPD ， Apache和Webmin 。

在本指南中，我們關(guān)注如何在巖石Linux和Almalinux上安裝和配置Fail2ban 。

步驟1：確保防火牆正在運行

默認(rèn)情況下，洛基（Rocky）帶有防火牆運行。但是，如果您的系統(tǒng)不是這種情況，請執(zhí)行以下情況：

 $ sudo systemctl啟動防火牆

然後使其能夠從啟動時間開始：

 $ sudo systemctl啟用防火牆

然後驗證防火牆的狀態(tài)

$ sudo systemctl狀態(tài)防火牆

此外，您可以使用命令確認(rèn)當(dāng)前正在執(zhí)行的所有防火牆規(guī)則：

 $ sudo firewall-cmd- list-all

步驟2：在巖石Linux中安裝EPEL

作為安裝FAIL2BAN和其他必要軟件包的要求，您需要安裝EPEL存儲庫，該存儲庫為基於RHEL的發(fā)行版提供其他高質(zhì)量軟件包。

 $ sudo dnf安裝epel-release

步驟3：在Rocky Linux中安裝Fail2ban

安裝EPEL後，繼續(xù)安裝Fail2Ban和Fail2ban-FireWalld軟件包。

 $ sudo dnf安裝fail2ban fail2ban-firewalld

這將安裝FAIL2BAN服務(wù)器和FireWalld組件以及其他依賴項。

通過安裝Fail2BAN完成，請啟動Fail2ban服務(wù)。

 $ sudo systemctl啟動fail2ban

並使其能夠從啟動時間開始。

 $ sudo systemctl啟用fail2ban

您可以通過運行命令來驗證Fail2ban服務(wù)的狀態(tài)：

 $ sudo systemctl狀態(tài)失敗2ban

輸出證實了Fail2ban正在按照我們的期望運行。

步驟4：在Rocky Linux中配置FAIL2BAN

繼續(xù)前進，我們需要配置失敗2ban，以便它按預(yù)期工作。理想情況下，我們將編輯主配置文件 - /etc/fail2ban/jail.conf 。但是，這是灰心的。作為解決方法，將conf配置文件的內(nèi)容複製到監(jiān)獄。

 $ sudo cp /etc/fail2ban/jail.conf/etc/fail2ban/jail.local

現(xiàn)在，使用您的首選編輯器打開監(jiān)獄。本地文件。

 $ sudo vim /etc/fail2ban/jail.local

根據(jù)[默認(rèn)]部分，確保您具有以下設(shè)置。

 Bantime = 1H
FindTime = 1H
maxRetry = 5

讓我們定義屬性：

• Bantime指令指定了在身份驗證嘗試失敗後禁止客戶禁止客戶的持續(xù)時間。
• Findtime指令是在考慮重複不正確的密碼嘗試時，將考慮Fail2BAN將考慮的持續(xù)時間或期限。
• MaxRetry參數(shù)是在阻止遠(yuǎn)程客戶端訪問服務(wù)器之前的最大不正確密碼嘗試。在這裡，在5個身份驗證失敗後，客戶將被鎖定。

默認(rèn)情況下，F(xiàn)ail2ban與Iptables一起使用。但是，這已被棄用，以支持防火牆。我們需要配置Fail2ban與Firewalld一起工作，而不是Iptables。

因此，使用命令運行：

 $ sudo mv /etc/fail2ban/jail.d/00-firewalld.conf /etc/fail2ban/jail.d/00-firewalld.local

要應(yīng)用這些更改，請重新啟動fail2ban：

 $ sudo systemctl restart fail2ban

步驟5：使用Fail2Ban獲得SSH服務(wù)

默認(rèn)情況下，F(xiàn)ail2BAN不會阻止任何遠(yuǎn)程主機，直到您啟用要獲得的服務(wù)的監(jiān)獄配置。監(jiān)獄配置在/etc/fail2ban/jail.d路徑中指定，並將覆蓋監(jiān)獄中指定的配置。

在此示例中，我們將創(chuàng)建一個監(jiān)獄配置文件以保護SSH服務(wù)。因此，創(chuàng)建SSH監(jiān)獄文件。

 $ sudo vim /etc/fail2ban/jail.d/sshd.local

接下來，粘貼以下行：

 [SSHD]
啟用= true

＃覆蓋默認(rèn)的全局配置
＃對於特定的監(jiān)獄SSHD
Bantime = 1D
maxRetry = 3

在上面的配置中，將在3次失敗的SSH登錄嘗試後，禁止遠(yuǎn)程主機訪問系統(tǒng)1天。保存更改並重新啟動FAIL2BAN服務(wù)。

 $ sudo systemctl restart fail2ban

接下來，使用FAIL2BAN-CLIENT命令行實用程序驗證監(jiān)獄配置狀態(tài)。

 $ sudo fail2ban-client狀態(tài)

從輸出來看，我們可以看到我們有1個監(jiān)獄配置為一個名為“ SSHD ”的服務(wù)。

此外，您可以使用GET選項確認(rèn)SSHD監(jiān)獄的最大值。

 $ sudo fail2ban-client獲取sshd maxretry

3

打印3的值應(yīng)匹配您在sshd.local文件中指定的內(nèi)容。

步驟6：測試失敗2ban配置

設(shè)置Fail2BAN並為SSH服務(wù)創(chuàng)建監(jiān)獄配置文件後，我們將通過為每個密碼提示指定一個不正確的密碼來執(zhí)行測試運行，並模擬3個失敗的登錄。

因此，轉(zhuǎn)到遠(yuǎn)程Linux系統(tǒng)，並嘗試使用錯誤的密碼登錄。經(jīng)過3次失敗的嘗試後，連接將被刪除，隨後重新連接的任何嘗試都將被阻止，直到禁令持續(xù)時間失效為止。

為了收集有關(guān)客戶系統(tǒng)阻止的見解，請檢查監(jiān)獄狀態(tài)。

 $ sudo fail2ban-client狀態(tài)SSHD

要取消或從監(jiān)獄中刪除客戶，請執(zhí)行命令：

 $ sudo fail2ban-client Unban 192.168.2.102

再次檢查監(jiān)獄狀態(tài)，以確保客戶未包含在禁止的IP列表中。

 $ sudo fail2ban-client狀態(tài)SSHD

正如我們已經(jīng)看到的那樣， Fail2ban是保護試圖違反Linux系統(tǒng)的入侵者的非常有用的工具。它與Firewalld一起工作，以在特定數(shù)量的登錄嘗試失敗後禁止客戶系統(tǒng)。在此過程中，它為Linux服務(wù)器提供了額外的保護層。

以上是如何在Rocky Linux和Almalinux上安裝Fail2ban的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！