經過Fail2ban保護你的雲服務器

  對於經過遠程ssh方式進行鏈接的雲服務器,Fail2ban是頗有必要的.他保護你的SSH等服務免受非法訪問的威脅.

  對我而言,每次拿到新服務器的第一件事就是封閉除了SSH端口以外的全部端口.可是對於還沒有保護的SSH服務端口,咱們須要一款工具來專門保護他.你須要的就是fail2ban.fail2ban的保護方式是,對短期嘗試過屢次登陸失敗的IP地址,進行自動封禁.

你能夠經過如下方式安裝fail2ban,例如咱們的服務器是Debian or Ubantu系Linux:

> sudo apt-get update
> sudo spt-get install fail2ban複製代碼

安裝以後,你僅需按照你的需求改動幾個配置.默認的配置文件路徑在 /etc/fail2ban/jail.conf.固然,咱們不推薦你直接修改這個文件,咱們能夠建立一個副本jail.local來修改配置:

> cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local複製代碼

在你的jail.local文件,你能夠修改任意部分的默認配置.如下是任意fail2ban均可以使用的配置範本:

[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 86400
maxretry = 3
destemail = your@email.com
action = %(action mwl)s複製代碼

大多數設置儘可能是可以望文生義的,或者在配置文件裏寫明做用.最須要改動的地方是action這個選項,這個是用來告訴fail2ban該如何將攻擊者的信息提交報告給管理員郵箱 destemail

接下來你要告訴fail2ban哪些是被容許的SSH登陸

[ssh]
enabled = true
port = 22
fileter = sshd
logpath = /var/log/auth.log複製代碼

爲了讓你的設置改動生效,你須要重啓fale2ban:

>sudo service fail2ban restart複製代碼

如今,你能夠經過命令行查看fail2ban的狀態.須要提醒的是,根據你服務被攻擊的頻率,可能須要一陣子你才能看到發生了什麼.

> fail2ban-client status ssh

Status for Status for the jail: ssh
|- filter
|  |- File list:    /var/log/auth.log 
|  |- Currently failed: 0
|  `- Total failed: 9171
`- action
   |- Currently banned: 1
   |  `- IP list:   31.197.115.250 
   `- Total banned: 404複製代碼

這就是你須要知道的東西.但願用了fail2ban,能讓你感覺到更多安全性提高.因爲大多數自動掃描SSH端口的腳本都是爆破默認端口22,因此若是你想要有更好的安全性,可使用除了22以外別的端口做爲SSH服務端口.同時也能夠禁止Root經過密碼登陸.

refer:

Protect your server with fail2ban