用fail2ban來防暴力破解

用fail2ban來防暴力破解

         十一放假歸來後，也就是在10朋11號，在看日誌的時候，我發現郵件服務器中的一個郵件賬戶(不常常用)有問題，它一直在向外發送郵件，收件人是一些QQ號碼，內容是：「恭喜您，得到星光大道節目的獎品」，裏面還搞的有一個老畢的照片，當時看了我鬥想笑。當我登錄進去一看，發件箱裏已經有1千多封郵件了，而且還收到了QQ的退信通知。這個內心愁啊。。之前沒有遇到過這種***。

         呵，沒說的，先給公司領導說下，要把這個賬戶的密碼給改下。登錄郵件後臺管理系統，把用戶的密碼給改了下。而後，再着用# tail -f /var/log/maillog來看，又發現有人一直在用這個賬戶嘗試登錄，裏面全是這個賬戶登錄失敗的消息：authentication failed:authentication failure

         這很然是有人在暴力破解這個賬戶的密碼，並且源ip地址仍是在不斷的變化的，原本我還想用iptables來把這個源ip給DROP掉，看來手工的來添加是根本不可行的。

         因而我就在網上搜索「Linux下防暴力破解的軟件」，而後就找到了：fail2ban

         Fail2ban軟件的安裝我就不說了，網上多裏很，來講下我是怎麼設置的。由於安裝好了之後，在設置這塊，我又花了很多的時間來研究才解決。

         在fail2ban安裝完成之後，就能夠實現ssh的防暴力破解。可是，要想實現fail2ban支持postfix的防暴力破解，那就還要在filter.d/postfix.conf中作相應的修改，以下（關鍵就在這兒）：

         failregex = reject: RCPT from (.*)\[<HOST>\]: 554
            .*LOGIN FAILED, .*, ip=\[<HOST>\]$
            postfix\/smtpd.* warning:.*\[<HOST>\]: SASL LOGIN authentication failed
            extmail.*: user=.*, client=<HOST>, module=login, status=badlogin

 

這是一個對/var/log/maillog文件的一個正則匹配。若是發現日誌文件中有：「SASL LOGIN authentication failed」的時候，就會把相應的IP地址提取出來，而後調用iptables，對其進行DROP。

    配置好後，重啓fail2ban服務。過個10分鐘就會發現iptables裏有一些ip地址被DROP了。

    一直到如今都沒有再出現暴力破解的狀況了。