fail2ban
fail2ban监视检测日志文件,根据匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作。
可用来放置爆破 和 CC 攻击。
安装:
yum install fail2ban -y 配置:
/etc/fal2ban 配置规则目录;
/etc/fail2ban/filter.d
配置示例:
ignoreip = 127.0.0.1/
# 忽略IP 白名单
bantime =
# 屏蔽时间 #发现时间,在此期间内重试超过规定次数,会激活fail2ban
findtime =
# 策略限制时间范围 超过会触发策略
maxretry =
# 最大次数 backend = auto
# 日志修改检测机制 [ssh-iptables]
enabled = true
# 激活 filter = sshd
# filter 规则下的名字 在 filter 目录下; action = iptables[name=SSH, port=ssh, protocol=tcp]
mail-whois[name=SSH, dest=root]
# 采取策略 logpath = /var/log/
# 日志分析目录
注:
启动会有 关于 python版本导致 模块不能调用错误:
ImportError: No module named fail2ban.version
fail2ban-server:
Starting fail2ban: Traceback (most recent call last):
File "/usr/bin/fail2ban-server", line , in <module>
from fail2ban.version import version
ImportError: No module named fail2ban.version
failban-client:
Starting fail2ban: Traceback (most recent call last):
File "/usr/bin/fail2ban-client", line , in <module>
from fail2ban.version import version
ImportError: No module named fail2ban.version
是由于更新系统默认python 版本,而 配置自动找寻的是 python 2.6,所以需要重新配置 引导python版本:
编辑: /usr/bin/fail2ban-server 和 /usr/bin/fail2ban-client
更改 第一行: #!/usr/bin/python -Es 更改为 #!/usr/bin/python2. -Es
fail2ban-server -V
