停止SSH口令嘗試工具軟件攻擊

Fail2ban即可以用系統(tǒng)自帶的防火墻， 如Linux的iptables或FreeBSD的ipfw， 又可以換用tcpd， 此外還可以擴展到其它網(wǎng)絡服務， 目前我主要使用在監(jiān)控22端口， 以及/var/log/secure日志， 主要是那些非法訪問的日志， 當發(fā)現(xiàn)某個IP在一個定義的時間段內(nèi)， 嘗試SSH密碼失敗達到一個定義的次數(shù)， 則利用LINUX的iptables阻止改IP一個定義的時間段， 當然， 也可以無期限的阻止。

下載地址http://fail2ban.sourceforge.net/， 在download中選擇適合自己操作系統(tǒng)的版本下載， 我選擇的是REDHAT版本， 該系統(tǒng)下軟件沒有部分其它版本高， 不過沒關系， 已經(jīng)完全滿足我們的需求。

下載fail2ban-0.6.2-1brn.src.rpm， 由于0.6.1版本有時間判斷上的BUG， 并且使用源代碼重新編譯可以更加的和實際系統(tǒng)環(huán)境配合， 達到最好的性能， 所以...選擇的這個版本的源代碼包。

rpmbuild --rebuild fail2ban-0.6.2-1brn.src.rpm

從編譯日志可以得知編譯好的RPM在/usr/src/redhat/RPMS/noarch/fail2ban-0.6.2-1brn.noarch.rpm

rpm -Uvh /usr/src/redhat/RPMS/noarch/fail2ban-0.6.2-1brn.noarch.rpm

執(zhí)行文件已經(jīng)在 /etc/init.d/fail2ban ， 并且作為一個服務可以用service fail2ban {start stop status restart condrestart}來進行操作

配置文件在/etc/fail2ban.conf

默認配置就是監(jiān)控SSH端口和日志， 所以我未作大的改動， 有興趣的兄弟可以嘗試監(jiān)控其它服務的日志和端口。

我改了一下幾個參數(shù)：

“locale = ”改為“locale = en_US”， 這個主要是為了時間格式的匹配， 反正0.6.1版本有這個BUG并且沒這個參數(shù)， 導致我安裝后無法使用， 安裝0.6.2后正常。

“maxfailures = 3”， 這個其實就是最大嘗試次數(shù)， 在后面定義的時間區(qū)間如果超過了這個嘗試次數(shù)將阻止IP訪問SSH端口。

“bantime = 3600”， 其實就是阻止的時間段， 當達到阻止條件的時候， 阻止該IP訪問SSH端口3600秒， 文檔說如果設為“-1”就是永久阻止， 各位可以視自己情況設定。

“findtime = 60”， 這個參數(shù)就是嘗試的時間段， 在這個時間段內(nèi)判斷前面嘗試次數(shù)， 達到則阻止其它參數(shù)我沒動， 等有時間了再研究。

啟動方法很簡單， 這里就不說了。