您的位置:極速下載站 → 電腦軟件 → 系統(tǒng)軟件 → 系統(tǒng)其他 → Fail2ban
fail2ban是一款系統(tǒng)主動(dòng)防御軟件,用于監(jiān)控系統(tǒng)日志,監(jiān)控服務(wù)器軟件,跟據(jù)錯(cuò)誤信息進(jìn)行正則表達(dá)式匹配,從而執(zhí)行屏蔽操作,是一款不錯(cuò)的服務(wù)器安全軟件,使用方法請往下閱讀。
功能介紹
1、支持大量服務(wù)。如sshd,apache,qmail,proftpd,sasl等等
2、支持多種動(dòng)作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(郵件通知)等等。
3、在logpath選項(xiàng)中支持通配符
4、需要Gamin支持(注:Gamin是用于監(jiān)視文件和目錄是否更改的服務(wù)工具)
5、需要安裝python,iptables,tcp-wrapper,shorewall,Gamin。如果想要發(fā)郵件,那必需安裝postfix/sendmail
使用方法
//下載rpmforge (里面有大量最新的rpm包)
# wget URL< 此URL請用擴(kuò)展閱讀中的地址替換>
//安裝rpmforge
# rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm
//用yum安裝fail2ban
# yum install fail2ban
安裝完成后,fail2ban 的設(shè)定檔在這里
# /etc/fail2ban
fail2ban.conf 日志設(shè)定文檔
jail.conf 阻擋設(shè)定文檔
/etc/fail2ban/filter.d 具體阻擋內(nèi)容設(shè)定目錄
默認(rèn)fail2ban.conf里面就三個(gè)參數(shù),而且都有注釋。
-------------------------------
#默認(rèn)日志的級別
loglevel = 3
#日志的目的
logt*arget = /var/log/fail2ban.log
#socket的位置
socket = /tmp/fail2ban.sock
-------------------------------
jail.conf配置里是fail2ban所保護(hù)的具體服務(wù)的配置,這里以SSH來講。
在jail.conf里有一個(gè)[DEFAULT]段,在這個(gè)段下的參數(shù)是全局參數(shù),可以被其它段所覆蓋。
-------------------------------
#忽略IP,在這個(gè)清單里的IP不會(huì)被屏蔽
ignoreip = 127.0.0.1 172.13.14.15
#屏蔽時(shí)間
bantime = 600
#發(fā)現(xiàn)時(shí)間,在此期間內(nèi)重試超過規(guī)定次數(shù),會(huì)激活fail2ban
findtime = 600
#嘗試次數(shù)
maxretry = 3
#日志修改檢測機(jī)制
backend = auto
[ssh-iptables]
#激活
enabled = true
#filter的名字,在filter.d目錄下
filter = sshd
#所采用的工作,按照名字可在action.d目錄下找到
action = iptables[name=SSH,port=ssh,protocol=tcp]
mail-whois[name=SSH,dest=root]
#目的分析日志
logpath = /var/log/secure
#覆蓋全局重試次數(shù)
maxretry = 5
#覆蓋全局屏蔽時(shí)間
bantime = 3600
-------------------------------
對jail.conf進(jìn)行一定的設(shè)置后,就可以使用fail2ban了。
//啟動(dòng)fail2ban
# service fail2ban start
啟動(dòng)之后,只要符合filter所定義的正則式規(guī)則的日志項(xiàng)出現(xiàn),就會(huì)執(zhí)行相應(yīng)的action。
官方網(wǎng)站:http://www.fail2ban.org/wiki/index.php/Main_Page
相關(guān)搜索:日志