经过Fail2ban保护你的云服务器

  对于经过远程ssh方式进行链接的云服务器,Fail2ban是颇有必要的.他保护你的SSH等服务免受非法访问的威胁.

  对我而言,每次拿到新服务器的第一件事就是封闭除了SSH端口以外的全部端口.可是对于还没有保护的SSH服务端口,咱们须要一款工具来专门保护他.你须要的就是fail2ban.fail2ban的保护方式是,对短期尝试过屡次登陆失败的IP地址,进行自动封禁.

你能够经过如下方式安装fail2ban,例如咱们的服务器是Debian or Ubantu系Linux:

> sudo apt-get update
> sudo spt-get install fail2ban复制代码

安装以后,你仅需按照你的需求改动几个配置.默认的配置文件路径在 /etc/fail2ban/jail.conf.固然,咱们不推荐你直接修改这个文件,咱们能够建立一个副本jail.local来修改配置:

> cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local复制代码

在你的jail.local文件,你能够修改任意部分的默认配置.如下是任意fail2ban均可以使用的配置范本:

[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 86400
maxretry = 3
destemail = your@email.com
action = %(action mwl)s复制代码

大多数设置尽可能是可以望文生义的,或者在配置文件里写明做用.最须要改动的地方是action这个选项,这个是用来告诉fail2ban该如何将攻击者的信息提交报告给管理员邮箱 destemail

接下来你要告诉fail2ban哪些是被容许的SSH登陆

[ssh]
enabled = true
port = 22
fileter = sshd
logpath = /var/log/auth.log复制代码

为了让你的设置改动生效,你须要重启fale2ban:

>sudo service fail2ban restart复制代码

如今,你能够经过命令行查看fail2ban的状态.须要提醒的是,根据你服务被攻击的频率,可能须要一阵子你才能看到发生了什么.

> fail2ban-client status ssh

Status for Status for the jail: ssh
|- filter
|  |- File list:    /var/log/auth.log 
|  |- Currently failed: 0
|  `- Total failed: 9171
`- action
   |- Currently banned: 1
   |  `- IP list:   31.197.115.250 
   `- Total banned: 404复制代码

这就是你须要知道的东西.但愿用了fail2ban,能让你感觉到更多安全性提高.因为大多数自动扫描SSH端口的脚本都是爆破默认端口22,因此若是你想要有更好的安全性,可使用除了22以外别的端口做为SSH服务端口.同时也能够禁止Root经过密码登陆.

refer:

Protect your server with fail2ban