Fail2Ban简易的封禁SSH爆破恶意扫描CC攻击vsftpd规则等操作

冲浪麦浪花郎

之前的帖子写少了，补充下Fail2Ban。
前言：https://www.hostloc.com/thread-909578-1-1.html原先写的不完全正确。又过了30天无法修改.....预计Fail2Ban根本没实现......（尴尬）

然后重新开个帖子
之前没有考虑到换端口后MJJ可能非22情况，切文本没有覆写更进。参考github项目某博客文本后把 SSH 密码爆破 阻止恶意扫描 CC 攻击  vsftpd 攻击规则。其实还可以加很多项目（只不过有些都没见过就算了）外补充个日志删除。基本上就这么多了的。

首先这个只是简易方案，适用于linux各类发行版本，包括容器类的openVZ LXC类。能治标不治本。被打还是会被打，防御一些阿猫阿狗还是没毛病的......

参考资料（建议都看看Centos和Ubuntu好几处不一样...）
https://www.escapelife.site/posts/d5f0eaf3.html
https://github.com/fail2ban/fail2ban
https://github.com/fail2ban/fail2ban/issues
https://www.有图比.com/results?search_query=fail2ban

安装

1. #以Debian为例（别的可以依葫芦画瓢）
   
2. #更新&安装
   
3. apt-get update && apt-get upgrade -y
   
4. apt-get -y install fail2ban

复制代码

温馨提示：
下面有几个数值需要自己修改“port=22”如果你的SSH端口不是22的话改成你对应的值
“# 最多...”# 禁止...”这样的含义可以视为注释，前面对应的数值可以自己修改。
修改好自己的值后拷贝修改的文本直接终端黏贴就可以了

1. #配置参数
   
2. fail2ban="/etc/fail2ban/jail.d/sshd.local"
   
3. cat>"${fail2ban}"<<EOF
   
4. [ssh-iptables]
   
5. enabled  = true
   
6. filter   = sshd
   
7. action   = iptables[name=SSH, port=22, protocol=tcp]
   
8. logpath  = /var/log/auth.log   # 如果是Centos路径要改/var/log/secure这个
   
9. maxretry = 9   # 最多连接9次失败
   
10. bantime  = 777600   # 禁止9天（按秒单位1天86400）
    
11. #阻止恶意扫描
    
12. [nginx-dir-scan]
    
13. enabled = true
    
14. filter = nginx-dir-scan
    
15. action   = iptables[name=nginx-dir-scan, port=443, protocol=tcp]
    
16. logpath = /path/to/nginx/access.log
    
17. maxretry = 1   # 最多扫描1次
    
18. bantime = 777600   # 禁止9天（按秒单位1天86400）
    
19. findtime  = 300
    
20. #防CC攻击
    
21. [nginx-cc]
    
22. enabled = true
    
23. port = http,https
    
24. filter = nginx-cc
    
25. action = %(action_mwl)s
    
26. maxretry = 20   # 最多C20次
    
27. findtime = 60
    
28. bantime = 777600   # 禁止9天（按秒单位1天86400）
    
29. logpath = /usr/local/nginx/logs/access.log
    
30. #防vsftpd攻击规则
    
31. [vsftpd-notification]
    
32. enabled = true
    
33. filter = vsftpd
    
34. action = sendmail-whois[name=VSFTPD, dest=you@example.com]
    
35. logpath = /var/log/vsftpd.log
    
36. maxretry = 5   # 最多5次
    
37. bantime = 777600   # 禁止9天（按秒单位1天86400）
    
38. [vsftpd-iptables]
    
39. enabled = true
    
40. filter = vsftpd
    
41. action = iptables[name=VSFTPD, port=ftp, protocol=tcp]
    
42.            sendmail-whois[name=VSFTPD, dest=you@example.com]
    
43. logpath = /var/log/vsftpd.log
    
44. maxretry = 5   # 最多5次
    
45. bantime = 777600   # 禁止9天（按秒单位1天86400）
    
46. EOF
    

复制代码

检查上面无误后开启

1. #覆写&启动&开机启动
   
2. cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.d/sshd.local
   
3. #先暂停#启动&开机自启
   
4. systemctl stop fail2ban
   
5. systemctl start fail2ban.service
   
6. systemctl enable fail2ban.service

复制代码

删除多余日志（这里的+15是15天时间，可以自己改。对5g 10g vps建议都加上，默认系统log都会回收，不加也无所谓。）

1. #fail2ban日志 开机自删+定时删日志
   
2. logdelete="./fail2banlogdelete.sh"
   
3. cat>"${logdelete}"<<EOF
   
4. #!/bin/bash
   
5. find /path/to/nginx/ -mtime +15 -name "*.log" | xargs -i mv {} /root/RecycleBin/;
   
6. find /usr/local/nginx/logs/ -mtime +15 -name "*.log" | xargs -i mv {} /root/RecycleBin/;
   
7. find /var/log/ -mtime +15 -name "*.log" | xargs -i mv {} /root/RecycleBin/;
   
8. find /root/RecycleBin/ -name "*.log" -exec rm -rf {} \;
   
9. EOF
   
10. cp ./fail2banlogdelete.sh /etc/init.d/
    
11. #读挡并赋予权限
    
12. chmod +777 /etc/init.d/fail2banlogdelete.sh
    
13. update-rc.d ./fail2banlogdelete.sh defaults 90
    
14. cd
    
15. (echo "0 0 */15 * * bash /etc/init.d/fail2banlogdelete.sh >>/dev/null 2>&1" ; crontab -l )| crontab
    
16. cd
    

复制代码

相关命令与systemctl 相似

1. #启动
   
2. systemctl start fail2ban
   
3. #停止
   
4. systemctl stop fail2ban
   
5. #开机启动
   
6. systemctl enable fail2ban
   
7. #状态
   
8. systemctl status fail2ban
   
9. #开机关闭
   
10. systemctl  disable fail2ban
    
11. #查看被ban IP，其中sshd为名称，比如上面的[wordpress]
    
12. fail2ban-client status sshd
    
13. #删除被ban IP
    
14. fail2ban-client set sshd delignoreip X.X.X.X
    
15. #查看日志
    
16. tail /var/log/fail2ban.log

复制代码

检验方法：
直接重启呼出TOP 或者HTOP检查是否有此项



PS:
摸鱼时间可以做评测，有需要的MJJ可以发来鉴定，或是有头铁 底气足 后台硬 的商家可以投稿 绝对客观diss (*￣︶￣*)（私信@即可）

捐赠 打赏 投食[ 谢谢哥哥姐姐(#^.^#) ]
BTC:
1QHQ95X7qhXkSqeUFDFw2M22JG9tnTCXsE
DOGE:
DAZ7H64MYcbXQy4xnkwXh2GbdxP2Tc42Mu
BUSD:
0xe727335a145e716c918817e5b3cdc7c6d9c833fa
ETH:
0xe727335a145e716c918817e5b3cdc7c6d9c833fa
USDT:
0xe727335a145e716c918817e5b3cdc7c6d9c833fa
BNB:
0xe727335a145e716c918817e5b3cdc7c6d9c833fa
ADA:
DdzFFzCqrhsq8VNQSTVSzjSUWDLEMFiwieADeJHHNNDjPczTsUJDDZTcTobZuQsrpszoPmuuDJ21xgp2UTahEN6G5QyEbryUifUAUtMF
XMR:
87NhgxMFMWgiLBhVYcwV4wYr3cXit6uRdWzdHX6cPxbQSXHFqCuoZPaKJfuaYDUwyQS6tGTWWYeRgFUTjrYXXiGn5LsXNQ7

huang1dede

#覆写&启动&开机启动
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.d/sshd.local

你这配置了半天,,,直接默认配置把他覆盖了

konololi

默认的配置文件不是有么，为何非要新增

而且本身日志有logrorate啊，为何非要自己删？

枝江小狼王

支持技术贴

Zeros

支持技术贴

acequeen

支持技术贴

哈登

怎么像宝塔后台免费的那个插件？

阿拉灯神丁

收藏了，技术贴

caizi

搞个两步验证不就完事了，如果能破，我认栽。

curtis

技术贴学习了

weixiangnan

哈登 发表于 2022-1-14 16:13
怎么像宝塔后台免费的那个插件？

宝塔确实集成的有  有UI界面