生產環境中的 Apache 服務器可能會受到不同的攻擊�。攻擊者或許試圖通過暴力攻擊或者執行惡意腳本來獲取未經授權或者禁止訪問的目錄�。一些惡意爬蟲或許會掃描你網站下的各種安全漏洞,或者通過收集email地址和web表單來發送垃圾郵件�。
Apache服務器具有全面的日志功能,可以捕捉到各種攻擊所反映的異常事件�。然而,它還不能系統地解析具體的apache 日志并迅速地對潛在的攻擊進行反應(比如�����,禁止/解禁IP地址)���。這時候fail2ban可以解救這一切�����,解放了系統管理員的工作。
fail2ban是一款入侵防御工具���,可以基于系統日志檢測不同的工具并且可以自動采取保護措施比如:通過iptables禁止ip、通過 /etc/hosts.deny 阻止連接�、或者通過郵件發送通知。fail2ban具有一系列預定義的“監獄”�,它使用特定程序日志過濾器來檢測通常的攻擊���。你也可以編寫自定義的規則來檢測來自任意程序的攻擊�。
在本教程中�,我會演示如何配置fail2ban來保護你的apache服務器。我假設你已經安裝了apache和fail2ban���。
什么是 Fail2ban 監獄
讓我們更深入地了解 fail2ban 監獄���。監獄定義了具體的應用策略,它會為指定的程序觸發一個保護措施�。fail2ban在 /etc/fail2ban/jail.conf 下為一些流行程序如Apache�、Dovecot�、Lighttpd、MySQL�����、Postfix�����、SSH 等預定義了一些監獄�。每個監獄都通過特定的程序日志過濾器(在/etc/fail2ban/fileter.d 下面)來檢測通常的攻擊�����。讓我看一個例子監獄:SSH監獄�����。
代碼如下:[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
banaction = iptables-multiport
SSH監獄的配置定義了這些參數:
[ssh]: 方括號內是監獄的名字�����。
enabled:是否啟用監獄
port: 端口號(或者對應的服務名稱)
filter: 檢測攻擊的日志解析規則
logpath: 所檢測的日志文件
maxretry: 最大失敗次數
banaction: 所進行的禁止操作
定義在監獄配置中的任意參數都會覆蓋fail2ban-wide 中相應的默認配置參數�。相反�,任何缺少的參數都會使用定義在[DEFAULT] 字段的默認值���。
預定義的日志過濾器都放在/etc/fail2ban/filter.d,而可以采取的禁止操作放在 /etc/fail2ban/action.d�����。
如果你想要覆蓋fail2ban的默認操作或者定義任何自定義監獄�����,你可以創建/etc/fail2ban/jail.local*文件�。本篇教程中�����,我會使用/etc/fail2ban/jail.local�����。
