fail2ban使用教程

安装防火墙
本案例所必要使用的防火墙为：firewall
firewall 一样平常体系里就安装好了，但是不愿定启动运行了，我们可以通过以下下令启动：
systemctl start firewalld.service # 服务启动
systemctl enable firewalld.service # 设置开机自启
systemctl status firewalld # 检察FirewallD防火墙状态
此处必要注意，一旦开启firewalld之后，80端口以及443端口就会被掩护起来，我们必要实行以下下令：
firewall-cmd --permanent --zone=public --add-port=5522/tcp
sudo firewall-cmd --permanent --zone=public --add-service=http
sudo firewall-cmd --permanent --zone=public --add-service=https
sudo firewall-cmd --reload
firewall的下令有很多，在本案例中使用以上下令即可，下面列出来的下令仅用于参考：

• firewall-cmd —state 检察防火墙状态，是否是running
  
• systemctl status firewalld.service 检察防火墙状态
  
• systemctl start firewalld.service 启动防火墙
  
• systemctl stop firewalld.service 暂时关闭防火墙
  
• systemctl enable firewalld.service 设置开机启动防火墙
  
• systemctl disable firewalld.service 设置克制开机启动防火墙
  
• firewall-cmd —permanent —query-port=80/tcp 检察80端口有没开放
  
• firewall-cmd —reload 重新载入设置，好比添加规则之后，必要实行此下令
  
• firewall-cmd —get-zones 列出支持的zone
  
• firewall-cmd —get-services 列出预界说的服务
  
• firewall-cmd —query-service ftp 检察ftp服务是否放行，返回yes大概no
  
• firewall-cmd —add-service=ftp 暂时开放ftp服务
  
• firewall-cmd —add-service=ftp —permanent 永世开放ftp服务
  
• firewall-cmd —remove-service=ftp —permanent 永世移除ftp服务
  
• firewall-cmd —add-port=80/tcp —permanent 永世添加80端口
  
• firewall-cmd —zone=public —remove-port=80/tcp —permanent 移除80端口
  

安装设置 Fail2ban
使用工具如fail2ban或Logwatch来分析Nginx访问日志，并辨认在短时间内访问频率非常高的IP地点。您可以在CentOS上使用以下下令来安装fail2ban：
sudo yum install epel-release
sudo yum install fail2ban
安装完成后，可以在/etc/fail2ban/jail.conf中举行设置，在设置文件中添加以下代码：
[nginx]
enabled = true
port = 80, 443
filter = nginx-access
logpath = /var/log/nginx/access.log
findtime = 60
maxretry = 600
bantime = 300
参数表明：

• enabled：启用羁系项；
  
• port：羁系端口；
  
• filter：关联过滤器，必要在 filter.d 目次下有对应的过滤器设置文件；
  
• logpath：设置提供给过滤器所使用的日志文件路径；
  
• findtime：设置匹配时间隔断，单元为秒，即从日志中匹配条目，若指定时间内匹配到 maxretry 项设置的条目数目时，将会实行封禁IP动作；
  
• maxretry：设置从日志中匹配到IP的最大数目，即实验次数；
  
• bantime：设置IP被克制的一连时间，单元为秒；
  
• ignoreip：忽略的IP
  
• action：关联动作 action = iptables-multiport[name=”sshd”, bantime=”%(bantime)s”, port=”0:65535”, protocol=”tcp”, chain=”INPUT”]
  

创建过滤器
在 filter.d 目次下，创建过滤器设置 nginx-access.conf

1. [INCLUDES]
2. ###
3. # 定义过滤器
4. ###
5. [Definition]
6. # 定义要禁止的IP，使用正则表达式匹配日志行，使用关键字"<HOST>"表示要禁止的IP。
7. failregex = ^<HOST> -.*"(GET|POST).*HTTP.*" (400|401|403|404|444)
8. # 定义要忽略禁止的IP，使用正则表达式匹配日志行，使用关键字"<HOST>"表示要忽略的IP。
9. ignoreregex =
10. ###
11. # 初始化过滤器
12. ###
13. [Init]
14. # 设置过滤器每次读取日志的行数，每次读取10行做匹配。
15. maxlines = 10
16. # 过滤器每次从日志中缓冲多少行，进行匹配处理，如果一次读取大量的行，程序会崩溃，系统内存将会不够用
17. journalmatch =

复制代码

这将匹配Nginx访问日志中的GET和POST哀求，并在状态码为400、401、403、404和444时查找主机IP地点。


创建动作
在 action.d 目次下，创建动作设置 iptables.conf
这段仅供参考。
[INCLUDES]
###
# 界说动作
# 使用"<关键字>"声明厘革的值
# "<ip>"关键字即是过滤器正则表达式中的"<HOST>"
###
[Definition]
actionstart = <iptables> -N f2b-<name>
              <iptables> -A f2b-<name> -j <returntype>
              <iptables> -I <chain> -p <protocol> -m multiport --dports <port> -j f2b-<name>
actionstop = <iptables> -D <chain> -p <protocol> -m multiport --dports <port> -j f2b-<name>
             <iptables> -F f2b-<name>
             <iptables> -X f2b-<name>
actioncheck = <iptables> -n -L <chain> | grep -q 'f2b-<name>[ \t]'
actionban = <iptables> -I f2b-<name> 1 -s <ip> -j <blocktype>
actionunban = <iptables> -D f2b-<name> -s <ip> -j <blocktype>
###
# 初始化动作
# 声明在羁系中关联动作允许传入的参数即是上面的"<关键字>"，若未传入则使用默认值
###
[Init]
chain = INPUT
name = default
port = ssh
protocol = tcp
blocktype = REJECT --reject-with icmp-port-unreachable
returntype = RETURN
lockingopt = -w
iptables = iptables <lockingopt>


更新使用动作
上面创建动作是更高级的应用，我们可以先使用模板。
更新默认设置（/etc/fail2ban/jail.d/00-firewalld.conf）
[DEFAULT]
banaction = firewallcmd-rich-rules[actiontype=<multiport>]
banaction_allports = firewallcmd-rich-rules[actiontype=<allports>]
假如必要变更为使用ipset，只必要做如下修改：
[DEFAULT]
banaction = firewallcmd-ipset[actiontype=<multiport>]
banaction_allports = firewallcmd-ipset[actiontype=<allports>]
更改设置文件后必要使用 fail2ban-client restart 重启 fail2ban 才气收效，单纯的 reload 是无法收效的。

1. # 获取所有 direct 规则
2. firewall-cmd --direct --get-all-rules
3. # 获取 ipset 列表
4. ipset list

复制代码

fail2ban-client 常用操纵

• 重启：fail2ban-client restart
  
• 检察运行状态：fail2ban-client status nginx
  
• 黑名单操纵 IP 参加黑名单：fail2ban-client set nginx banip 192.168.1.8 IP 解锁：fail2ban-client set nginx unbanip 192.168.1.8
  
• 白名单操纵 IP 参加白名单：fail2ban-client set nginx addignoreip 192.168.1.8 IP 从白名单中移除：fail2ban-client set nginx delignoreip 192.168.1.8 在全部羁系中参加IP 白名单：fail2ban-client unban 192.168.1.8
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

继续阅读请点击广告