:max_bytes(150000):strip_icc()/JackWallen-56a71ed248bb42a48cf703edd2a2c3b4.jpg)
提升Ubuntu服务器的安全性通过添加入侵检测系统。为此,您可能想转向FAIL2BAN。fail2ban监视特定的日志文件(在/var/log目录)用于失败的登录尝试或自动攻击。当Fail2ban从IP地址检测到尝试的折衷方案时,它会阻止IP地址(通过向Iptables安全系统添加新链)从进入服务器的输入中。
要安装Fail2BAN,您需要在任何支持版本的Ubuntu Server上访问Shell访问,并具有具有Sudo特权的帐户,允许安装新的软件包。
:max_bytes(150000):strip_icc()/locks-56a8179d5f9b58b7d0f08cc5.jpg)
如何安装fail2ban
使用APT安装fail2ban。最好在刚更新的服务器平台上执行安装,如果内核版本更新,请在安装fail2ban之前重新启动服务器。
安装完成后,使用以下两个命令启动并启用fail2ban:
sudo systemctl启动失败2ban
sudo systemctl启用fail2ban
Fail2ban现在正在系统上运行,并准备好配置。
配置fail2ban
Fail2ban使用监狱配置。监狱定义了服务方式如何监视以及如何快速采取行动抵抗攻击。
开箱即用,系统已经安全。但是,它也很灵活。主要配置文件是/etc/fail2ban/jail.conf。不要编辑该文件。而是使用.Local文件扩展名创建一个新文件。fail2ban始终首先读取.conf文件,第二个局部文件第二。.Local文件中读取的任何配置都将覆盖.conf文件中的类似配置。
示例配置
假设您想为安全的Shell Daemon创建自定义监狱,该监狱将:
- Monitor/var/log/auth.log。
- 使用默认的失败2ban SSHD过滤器。
- 将SSH端口设置为22。
- 将最大重试设置为3。
.Local监狱中的SSH自定义将覆盖主要配置文件中发现的任何类似配置,can.conf(例如,将默认的最大值重试。如果一个人(或机器人)失败SSH登录尝试三次IP地址将被禁止。
要配置此内容,请发出命令:
sudo nano /etc/fail2ban/jail.local
在此新文件中,粘贴以下内容:
[SSHD]
启用= true
端口= 22
过滤器= SSHD
logpath =/var/log/auth.log
maxRetry = 3
保存并关闭文件,然后与命令重新启动fail2ban:
sudo systemctl restart fail2ban
测试失败2ban
要测试Fail2BAN,请转到另一台具有不同IP地址的计算机,并在不正确地键入用户密码时,将安全的Shell会话启动到服务器中。第三次登录失败后,该用户帐户被禁止。
:max_bytes(150000):strip_icc()/fail2ban1-5bf95af7c9e77c00512699c5.jpg)
即使您尝试从相同的IP地址返回服务器,仍然拒绝访问。
解除IP地址
Un-ban a IP与fail2ban-client命令(与失败2ban一起安装)类似:
sudo fail2ban-client SSSHD Unbranip 192.168.1.100
:max_bytes(150000):strip_icc()/GettyImages-1023529672-e977e52a74874ca3803ef8507afd7255.jpg)
:max_bytes(150000):strip_icc()/network-3424070_1920-5bd1f0a046e0fb00587ad978.jpg)
:max_bytes(150000):strip_icc()/GettyImages-1192177960-1ec1853ac5644ccd87a262c66fa9bb4c.jpg)
:max_bytes(150000):strip_icc()/10-0-0-1-818065-6ef462135f5a4de48295251eb03cffb9.png)
:max_bytes(150000):strip_icc()/windows-ftp-servers-free-817577-b3a79cd812194b039f8ad6a85f13b65e.gif)
:max_bytes(150000):strip_icc()/GettyImages-585297068-52005387a57248a19e3ee29bc1af44b4.jpg)
:max_bytes(150000):strip_icc()/Setup-ubuntu-remote-desktop-4129666-cc2a0d2f16a74376a66f8af0b79af938.png)
:max_bytes(150000):strip_icc()/security-2168233_1920-5c5f396246e0fb0001105fb1.jpg)
:max_bytes(150000):strip_icc()/surf-internet-url-henrik5000-e-getty-images-56fa7f855f9b5829867282a9.jpg)
:max_bytes(150000):strip_icc()/sudo-58adef143df78c345bf07196.png)
:max_bytes(150000):strip_icc()/what-is-a-static-ip-address-2626012-8509ea8f343a4ee89271aef62f4fb6c5.gif)
:max_bytes(150000):strip_icc()/ubuntu-56f6c0225f9b582986674c7e.jpg)
:max_bytes(150000):strip_icc()/what-is-a-dns-server-2625854-finalv2-8338cec3afa04371a49ee4fc72ce5539.png)
:max_bytes(150000):strip_icc()/GettyImages-700959026-42e954544a5a4e8c916ffb3733672652.jpg)
:max_bytes(150000):strip_icc()/seahorse-56a5ab243df78cf772895565-81fbdaf51e3b48ac9e82577d99fe8bf8.jpg)
:max_bytes(150000):strip_icc()/CiscoDefaultPasswordList_2619151-97559d7678014370aae3d50a6a7158e1.png)