首頁 » » 如何在Debian 9上设置Fail2ban

如何在Debian 9上设置Fail2ban

顾名思义,Fail2ban是一种实用程序,旨在帮助Linux机器免受选定开放端口(尤其是SSH端口)上的暴力攻击。为了系统功能和管理,不能使用防火墙关闭这些端口。在这种情况下,最好使用Fail2ban作为防火墙的补充安全措施,以限制这些端口上的暴力攻击流量。

在本文中,我将向您展示如何在Vultr Debian 9服务器实例上安装和配置Fail2ban以保护SSH端口(最常见的攻击目标)。

先决条件

  • 新鲜的Debian 9(Stretch)x64服务器实例。
  • 以身份登录root
  • 所有未使用的端口已被正确的IPTables规则阻止。

步骤1:更新系统

apt update && apt upgrade -y
shutdown -r now

系统启动后,以身份重新登录root

步骤2:修改SSH端口(可选)

由于默认的SSH端口号22太受欢迎而无法忽略,因此将其更改为鲜为人知的端口号38752是一个明智的决定。

sed -i "s/#Port 22/Port 38752/g" /etc/ssh/sshd_config
systemctl restart sshd.service

修改后,您需要相应地更新IPTables规则:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 38752 -j ACCEPT

将更新的IPTables规则保存到文件中以实现持久性:

iptables-save > /etc/iptables.up.rules
touch /etc/network/if-pre-up.d/iptables
chmod +x /etc/network/if-pre-up.d/iptables
echo '#!/bin/sh' >> /etc/network/if-pre-up.d/iptables
echo '/sbin/iptables-restore < /etc/iptables.up.rules' >> /etc/network/if-pre-up.d/iptables

以这种方式,即使重新引导系统,IPTables规则也将保持不变。从现在开始,您将需要从38752端口登录。

步骤3:安装和配置fail2ban以保护SSH

使用apt安装的fail2ban的稳定版本,这是目前0.9.x

apt install fail2ban -y

安装后,Fail2ban服务将自动启动。您可以使用以下命令显示其状态:

service fail2ban status

在Debian上,默认的Fail2ban过滤器设置将存储在/etc/fail2ban/jail.conf文件和/etc/fail2ban/jail.d/defaults-debian.conf文件中。请记住,后一个文件中的设置将覆盖前一个文件中的相应设置。

使用以下命令查看更多详细信息: 

cat /etc/fail2ban/jail.conf | less
cat /etc/fail2ban/jail.d/defaults-debian.conf
fail2ban-client status
fail2ban-client status sshd

供您参考,下面列出了有关SSH的代码摘录:

/etc/fail2ban/jail.conf

[DEFAULT]

bantime = 600
...
maxentry = 5

[sshd]

port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

/etc/fail2ban/jail.d/defaults-debian.conf

[sshd]
enabled = true

由于上面两个配置文件中的内容可能在将来的系统更新中更改,因此您应该创建一个本地配置文件来存储自己的fail2ban过滤规则。同样,此文件中的设置将覆盖上述两个文件中的相应设置。

vi /etc/fail2ban/jail.d/jail-debian.local

输入以下行:

[sshd]
port = 38752
maxentry = 3

注意:请确保使用您自己的SSH端口。除了portmaxentry上面提到的,所有其他设置将使用默认值。

保存并退出:

:wq

重新启动Fail2ban服务以加载新配置:

service fail2ban restart

我们的设置完成。从现在开始,如果有任何机器向Debian服务器的自定义SSH端口(38752)发送不正确的SSH凭证超过3次,则此潜在恶意机器的IP将被禁止600秒。

留下評論

在Arch Linux上使用Makepkg

在Arch Linux上使用Makepkg

在Arch Linux上使用Makepkg可以避免系统污染,确保仅安装必要的依赖关系。

如何在Ubuntu 16.04上安装OpenSIPS控制面板

如何在Ubuntu 16.04上安装OpenSIPS控制面板

快速学习如何在Ubuntu 16.04上安装OpenSIPS控制面板,为VoIP提供商提供支持的功能。

在Fedora 28上安装Akaunting

在Fedora 28上安装Akaunting

学习如何在Fedora 28上安装Akaunting,一款适合小型企业和自由职业者的开源会计软件。

如何在CentOS 7上安装Mailtrain新闻通讯应用程序

如何在CentOS 7上安装Mailtrain新闻通讯应用程序

使用其他系统?Mailtrain是一个基于Node.js和MySQL / MariaDB构建的开源自托管新闻通讯应用程序。

诊断Minecraft服务器延迟和低TPS

诊断Minecraft服务器延迟和低TPS

了解導致Minecraft延遲的原因和解決方案,包括優化伺服器性能和減少滯後的步驟。

AI 能否應對越來越多的勒索軟件攻擊?

AI 能否應對越來越多的勒索軟件攻擊?

勒索軟件攻擊呈上升趨勢,但人工智能能否幫助應對最新的計算機病毒?AI 是答案嗎?在這裡閱讀知道是 AI 布恩還是禍根

ReactOS:這是 Windows 的未來嗎?

ReactOS:這是 Windows 的未來嗎?

ReactOS,一個開源和免費的操作系統,這裡有最新版本。它能否滿足現代 Windows 用戶的需求並打倒微軟?讓我們更多地了解這種老式但更新的操作系統體驗。

通過 WhatsApp 桌面應用程序 24*7 保持聯繫

通過 WhatsApp 桌面應用程序 24*7 保持聯繫

Whatsapp 終於為 Mac 和 Windows 用戶推出了桌面應用程序。現在您可以輕鬆地從 Windows 或 Mac 訪問 Whatsapp。適用於 Windows 8+ 和 Mac OS 10.9+

人工智能如何將流程自動化提升到新的水平?

人工智能如何將流程自動化提升到新的水平?

閱讀本文以了解人工智能如何在小型公司中變得流行,以及它如何增加使它們成長並為競爭對手提供優勢的可能性。

macOS Catalina 10.15.4 補充更新引發的問題多於解決

macOS Catalina 10.15.4 補充更新引發的問題多於解決

最近,Apple 發布了 macOS Catalina 10.15.4 補充更新以修復問題,但似乎該更新引起了更多問題,導致 mac 機器變磚。閱讀這篇文章以了解更多信息