CentOS6.3下安装fail2ban防暴力破解工具
2013-06-28 16:09
786 查看
http://showerlee.blog.51cto.com/2047005/1169792
fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的软件!功能和特性: 1、支持大量服务。如sshd,apache,qmail,proftpd,sasl等等 2、支持多种动作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(邮件通知)等等。 3、在logpath选项中支持通配符 4、需要Gamin支持(注:Gamin是用于监视文件和目录是否更改的服务工具) 5、需要安装python,iptables,tcp-wrapper,shorewall,Gamin。如果想要发邮件,那必需安装postfix或sendmail核心原理:其实fail2ban就是用来监控,具体是调用iptables来实现动作!好了,那下面来说说具体怎么安装、部署吧。一、首先是服务安装首先配置yum源,这里采用的是yum直接装(也可源码安装)vim /etc/yum.repos.d/CentOS-Base.repo在最后新增:[atrpms] name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms gpgcheck=1 enabled=1 然后直接就yum装:yum -y install fail2ban安装完成后,服务配置目录为:/etc/fail2ban/etc/fail2ban/action.d #动作文件夹,内含默认文件。iptables以及mail等动作配置/etc/fail2ban/fail2ban.conf #定义了fai2ban日志级别、日志位置及sock文件位置/etc/fail2ban/filter.d #条件文件夹,内含默认文件。过滤日志关键内容设置/etc/fail2ban/jail.conf #主要配置文件,模块化。主要设置启用ban动作的服务及动作阀值/etc/rc.d/init.d/fail2ban #启动脚本文件二、安装后配置首先来看看日志文件的默认定义:cat /etc/fail2ban/fail2ban.conf |grep -v ^#[Definition] loglevel = 3 logtarget = SYSLOG #我们需要做的就是把这行改成/var/log/fail2ban.log,方便用来记录日志信息 socket = /var/run/fail2ban/fail2ban.sock 再来看看主配置默认生效的配置:cat /etc/fail2ban/jail.conf |grep -v ^# |less[DEFAULT] #全局设置 ignoreip = 127.0.0.1 #忽略的IP列表,不受设置限制(白名单) bantime = 600 #屏蔽时间,单位:秒 findtime = 600 #这个时间段内超过规定次数会被ban掉 maxretry = 3 #最大尝试次数 backend = auto #日志修改检测机制(gamin、polling和auto这三种) [ssh-iptables] #针对各服务的检查配置,如设置bantime、findtime、maxretry和全局冲突,服务优先级大于全局设置 enabled = true #是否激活此项(true/false) filter = sshd #过滤规则filter的名字,对应filter.d目录下的sshd.conf action = iptables[name=SSH, port=ssh, protocol=tcp] #动作的相关参数 sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com] #触发报警的收件人 logpath = /var/log/secure #检测的系统的登陆日志文件 maxretry = 5 #最大尝试次数 PS:logpath(Centos5和Rhel5中)要写成/var/log/secure,这个是系统登陆日志,不能随意设置service fail2ban start #启动服务即可(就用默认的主配置文件里定义的)service iptables start #fail2ban依赖预iptables #之前改过日志路径,不行的话就再重启fail2ban三、测试功能测试机:192.168.30.251fail2ban:192.168.29.253在测试机上ssh 192.168.29.253,并且连续输入超过5次密码不对(经测试有延迟,多试几次),就会出现下图,连接不上
fail2ban上会产生日志记录:阻挡了此ip的续连
四、扩展说明其实fail2ban的功能还是很丰富的,刚刚只是测试了它默认开启的防ssh暴力破解功能。这里介绍防止vsftpd被暴力破解功能.1.YUM安装vsftpd(yum配置略)#yum install vsftpd -y2.配置vsftpd,开启访问日志和传输日志支持#vi /etc/vsftpd/conf/vsftpd.conf添加:xferlog_enable=YESdual_log_enable=YESvsftpd_log_file=/var/log/vsftpd.log3.配置fail2ban的jail.conf文件,添加如下内容#vi /etc/fail2ban/jail.conf添加:[vsftpd-iptables]enabled = truefilter = vsftpdaction = iptables[name=VSFTPD, port=21, protocol=tcp] sendmail-whois[name=VSFTPD, dest=you@example.com]logpath = /var/log/securemaxretry = 5bantime = 684004.重启iptables和fail2ban服务.service iptables restartservice fail2ban restart------------------补 充----------------------一 安装 Fail2ban 服务下载rpmforge , 里面有大量最新的rpm包.wget http://dag.wieers.com/rpm/packages/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.i386.rpmrpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm开始yum吧~~!yum install fail2banfail2ban noarch 0.8.2-3.el5.rf rpmforge 125 kInstalling for dependencies:gamingamin-python安装是十分简单的拉.fail2ban 原理fail2ban 调用 iptables 实时阻挡外界的***,按照你的要求在一段时间内找出符合条件的日志,然后动作。二 设定fail2ban服务fail2ban 的设定档在这里/etc/fail2banfail2ban.conf 日志设定文档jail.conf 阻挡设定文档/etc/fail2ban/filter.d 具体阻挡内容设定目录三 为何需要安装fail2ban呢?Extmail 本身是没有邮件系统被***的解决方案,***是会不断user unknow地试探pop3 smtp 认证得到密码或电邮地址,大家可能问得到邮地址有何作用呢?电邮地址是可以贩卖的哦!而且十分值钱的,如果垃圾邮件者购买了这些地址,你的邮件服务器就有排忙了。你话需不需要安装个fail2ban保护呢?四 实施保护1. 保护 SSH 拦截先看看fail2ban是如何拦截的?cat /etc/fail2ban/filter.d/sshd.conffailregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$ ^%(__prefix_line)sFailed [-/\w]+ for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$ ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$ ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$ ^%(__prefix_line)sUser \S+ from <HOST> not allowed because not listed in AllowUsers$ ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$ ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$ ^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT\s*$fail2ban 使用了正则表达式找出:Authentication failure/authentication failureROOT LOGIN REFUSEDrefused connect fromPOSSIBLE BREAK-IN ATTEMPTnot allowed because not listed in AllowUsers以上的状况,可以根据你实际要求删减. 其中<HOST> 为建立连接的IP 开启 SSH 拦截vi /etc/fail2ban/jail.conf[ssh-iptables]enabled = truefilter = sshdaction = iptables[name=SSH, port=ssh, protocol=tcp] sendmail-whois[name=SSH, dest=收件者电邮地址, sender=寄件者电邮地址]logpath = /var/log/securemaxretry = 3findtime = 300bantime = 86400fail2ban 会按照你的要求去查看/var/log/secure日志文件,然后在findtime = 300 "5分钟" 之内符合条件的记录下来,如果到达了maxretry = 3 "3次符合条件" 就阻挡这个IP连接22端口 bantime = 86400 "一天的时间".2. POP3 保护拦截cat /etc/fail2ban/filter.d/courierlogin.conffailregex = LOGIN FAILED, .*, ip=\[<HOST>\]$这里表示错误地输入用户名/密码的pop3连接.开启 pop3 保护vi /etc/fail2ban/jail.conf[POP3]enabled = truefilter = courierloginaction = iptables[name=pop3, port=110, protocol=tcp]logpath = /var/log/maillogbantime = 1800findtime = 300maxretry = 15大家应该懂得如何看了吧? 我不写拉!好累。参数可以按照你实际要求修改噢~!3. POP3-SSL 保护拦截cat /etc/fail2ban/filter.d/courierlogin-ssl.conffailregex = LOGIN FAILED, .*, ip=\[<HOST>\]$这里表示错误地输入用户名/密码的pop3-ssl连接.vi /etc/fail2ban/jail.conf[POP3-SSL]enabled = truefilter = courierlogin-sslaction = iptables[name=pop3-ssl, port=995, protocol=tcp]logpath = /var/log/maillogbantime = 1800findtime = 300maxretry = 154 SMTP 保护拦截cat /etc/fail2ban/filter.d/couriersmtp.conffailregex = postfix/smtpd.* warning: unknown\[<HOST>\]: SASL LOGIN authentication failed: authentication failure这里表示错误地输入用户名/密码的smtp连接.vi /etc/fail2ban/jail.conf[SMTP]enabled = truefilter = couriersmtpaction = iptables[name=smtp, port=25:366, protocol=tcp]logpath = /var/log/maillogbantime = 1800findtime = 300maxretry = 15参数可以按照你实际要求修改.5. Extmail 登录保护由于Extmail 的web mail 登入没有做到保护,现在加固吧!vi /etc/fail2ban/filter.d/extmail.conffailregex = extmail.*: user=.*, client=<HOST>, module=login, status=badlogin这里表示错误地输入用户名/密码的web mail 登入.vi /etc/fail2ban/jail.conf[extmail]enabled = truefilter = extmailaction = iptables[name=httpd, port=http, protocol=tcp]logpath = /var/log/maillogbantime = 300findtime = 300maxretry = 66. POSTFIX 保护User unknow 的试探.不知道这个动作的意思先看看这篇文章。http://hi.baidu.com/enjoyunix/blog/item/e8506058fd3c3189810a183a.htmlvi /etc/fail2ban/filter.d/postfix.conffailregex = reject: RCPT from (.*)\[<HOST>\]: 450vi /etc/fail2ban/jail.conf[POSTFIX]enabled = truefilter = postfixaction = iptables[name=postfix, port=25, protocol=tcp]logpath = /var/log/maillogbantime = 43200findtime = 1200maxretry = 5这里保护了User unknow 的试探以及垃圾邮件跳信***。五 看看iptablesiptables -L -nvpkts bytes target prot opt in out source destination 0 0 fail2ban-pop3-ssl tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:995 773 83329 fail2ban-postfix tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 299 12660 fail2ban-pop3 tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 301 12740 fail2ban-ftp tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 3354 253K fail2ban-SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 438 33979 fail2ban-httpd tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 5703 packets, 829K bytes)pkts bytes target prot opt in out source destination Chain fail2ban-SSH (1 references)pkts bytes target prot opt in out source destination 3354 253K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ftp (1 references)pkts bytes target prot opt in out source destination 301 12740 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-httpd (1 references)pkts bytes target prot opt in out source destination 438 33979 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-pop3 (1 references)pkts bytes target prot opt in out source destination 299 12660 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-pop3-ssl (1 references)pkts bytes target prot opt in out source destination 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-postfix (1 references)pkts bytes target prot opt in out source destination 773 83329 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-smtp (0 references)pkts bytes target prot opt in out source destination 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 如何监察呢?#watch -n 1 fail2ban-client status POSTFIXStatus for the jail: POSTFIX|- filter| |- File list: /var/log/maillog | |- Currently failed: 2| `- Total failed: 22`- action |- Currently banned: 0 | `- IP list: `- Total banned: 0看看那些垃圾邮件者真是好无聊!不断地试探我的邮件服务器呢。六 看看fail2ban的日志# cat fail2ban.log | grep '] Ban '2009-04-07 20:22:44,575 fail2ban.actions: WARNING [POSTFIX] Ban ip地址就以看到过去有那些IP拦截了,以及是那个服务。# cat fail2ban.log | grep '] Unban '可以查看什么时候解的。
fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的软件!功能和特性: 1、支持大量服务。如sshd,apache,qmail,proftpd,sasl等等 2、支持多种动作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(邮件通知)等等。 3、在logpath选项中支持通配符 4、需要Gamin支持(注:Gamin是用于监视文件和目录是否更改的服务工具) 5、需要安装python,iptables,tcp-wrapper,shorewall,Gamin。如果想要发邮件,那必需安装postfix或sendmail核心原理:其实fail2ban就是用来监控,具体是调用iptables来实现动作!好了,那下面来说说具体怎么安装、部署吧。一、首先是服务安装首先配置yum源,这里采用的是yum直接装(也可源码安装)vim /etc/yum.repos.d/CentOS-Base.repo在最后新增:[atrpms] name=Red Hat Enterprise Linux $releasever - $basearch - ATrpms baseurl=http://dl.atrpms.net/el$releasever-$basearch/atrpms/stable gpgkey=http://ATrpms.net/RPM-GPG-KEY.atrpms gpgcheck=1 enabled=1 然后直接就yum装:yum -y install fail2ban安装完成后,服务配置目录为:/etc/fail2ban/etc/fail2ban/action.d #动作文件夹,内含默认文件。iptables以及mail等动作配置/etc/fail2ban/fail2ban.conf #定义了fai2ban日志级别、日志位置及sock文件位置/etc/fail2ban/filter.d #条件文件夹,内含默认文件。过滤日志关键内容设置/etc/fail2ban/jail.conf #主要配置文件,模块化。主要设置启用ban动作的服务及动作阀值/etc/rc.d/init.d/fail2ban #启动脚本文件二、安装后配置首先来看看日志文件的默认定义:cat /etc/fail2ban/fail2ban.conf |grep -v ^#[Definition] loglevel = 3 logtarget = SYSLOG #我们需要做的就是把这行改成/var/log/fail2ban.log,方便用来记录日志信息 socket = /var/run/fail2ban/fail2ban.sock 再来看看主配置默认生效的配置:cat /etc/fail2ban/jail.conf |grep -v ^# |less[DEFAULT] #全局设置 ignoreip = 127.0.0.1 #忽略的IP列表,不受设置限制(白名单) bantime = 600 #屏蔽时间,单位:秒 findtime = 600 #这个时间段内超过规定次数会被ban掉 maxretry = 3 #最大尝试次数 backend = auto #日志修改检测机制(gamin、polling和auto这三种) [ssh-iptables] #针对各服务的检查配置,如设置bantime、findtime、maxretry和全局冲突,服务优先级大于全局设置 enabled = true #是否激活此项(true/false) filter = sshd #过滤规则filter的名字,对应filter.d目录下的sshd.conf action = iptables[name=SSH, port=ssh, protocol=tcp] #动作的相关参数 sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com] #触发报警的收件人 logpath = /var/log/secure #检测的系统的登陆日志文件 maxretry = 5 #最大尝试次数 PS:logpath(Centos5和Rhel5中)要写成/var/log/secure,这个是系统登陆日志,不能随意设置service fail2ban start #启动服务即可(就用默认的主配置文件里定义的)service iptables start #fail2ban依赖预iptables #之前改过日志路径,不行的话就再重启fail2ban三、测试功能测试机:192.168.30.251fail2ban:192.168.29.253在测试机上ssh 192.168.29.253,并且连续输入超过5次密码不对(经测试有延迟,多试几次),就会出现下图,连接不上
fail2ban上会产生日志记录:阻挡了此ip的续连
四、扩展说明其实fail2ban的功能还是很丰富的,刚刚只是测试了它默认开启的防ssh暴力破解功能。这里介绍防止vsftpd被暴力破解功能.1.YUM安装vsftpd(yum配置略)#yum install vsftpd -y2.配置vsftpd,开启访问日志和传输日志支持#vi /etc/vsftpd/conf/vsftpd.conf添加:xferlog_enable=YESdual_log_enable=YESvsftpd_log_file=/var/log/vsftpd.log3.配置fail2ban的jail.conf文件,添加如下内容#vi /etc/fail2ban/jail.conf添加:[vsftpd-iptables]enabled = truefilter = vsftpdaction = iptables[name=VSFTPD, port=21, protocol=tcp] sendmail-whois[name=VSFTPD, dest=you@example.com]logpath = /var/log/securemaxretry = 5bantime = 684004.重启iptables和fail2ban服务.service iptables restartservice fail2ban restart------------------补 充----------------------一 安装 Fail2ban 服务下载rpmforge , 里面有大量最新的rpm包.wget http://dag.wieers.com/rpm/packages/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.i386.rpmrpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm开始yum吧~~!yum install fail2banfail2ban noarch 0.8.2-3.el5.rf rpmforge 125 kInstalling for dependencies:gamingamin-python安装是十分简单的拉.fail2ban 原理fail2ban 调用 iptables 实时阻挡外界的***,按照你的要求在一段时间内找出符合条件的日志,然后动作。二 设定fail2ban服务fail2ban 的设定档在这里/etc/fail2banfail2ban.conf 日志设定文档jail.conf 阻挡设定文档/etc/fail2ban/filter.d 具体阻挡内容设定目录三 为何需要安装fail2ban呢?Extmail 本身是没有邮件系统被***的解决方案,***是会不断user unknow地试探pop3 smtp 认证得到密码或电邮地址,大家可能问得到邮地址有何作用呢?电邮地址是可以贩卖的哦!而且十分值钱的,如果垃圾邮件者购买了这些地址,你的邮件服务器就有排忙了。你话需不需要安装个fail2ban保护呢?四 实施保护1. 保护 SSH 拦截先看看fail2ban是如何拦截的?cat /etc/fail2ban/filter.d/sshd.conffailregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure for .* from <HOST>\s*$ ^%(__prefix_line)sFailed [-/\w]+ for .* from <HOST>(?: port \d*)?(?: ssh\d*)?$ ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$ ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$ ^%(__prefix_line)sUser \S+ from <HOST> not allowed because not listed in AllowUsers$ ^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$ ^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$ ^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN ATTEMPT\s*$fail2ban 使用了正则表达式找出:Authentication failure/authentication failureROOT LOGIN REFUSEDrefused connect fromPOSSIBLE BREAK-IN ATTEMPTnot allowed because not listed in AllowUsers以上的状况,可以根据你实际要求删减. 其中<HOST> 为建立连接的IP 开启 SSH 拦截vi /etc/fail2ban/jail.conf[ssh-iptables]enabled = truefilter = sshdaction = iptables[name=SSH, port=ssh, protocol=tcp] sendmail-whois[name=SSH, dest=收件者电邮地址, sender=寄件者电邮地址]logpath = /var/log/securemaxretry = 3findtime = 300bantime = 86400fail2ban 会按照你的要求去查看/var/log/secure日志文件,然后在findtime = 300 "5分钟" 之内符合条件的记录下来,如果到达了maxretry = 3 "3次符合条件" 就阻挡这个IP连接22端口 bantime = 86400 "一天的时间".2. POP3 保护拦截cat /etc/fail2ban/filter.d/courierlogin.conffailregex = LOGIN FAILED, .*, ip=\[<HOST>\]$这里表示错误地输入用户名/密码的pop3连接.开启 pop3 保护vi /etc/fail2ban/jail.conf[POP3]enabled = truefilter = courierloginaction = iptables[name=pop3, port=110, protocol=tcp]logpath = /var/log/maillogbantime = 1800findtime = 300maxretry = 15大家应该懂得如何看了吧? 我不写拉!好累。参数可以按照你实际要求修改噢~!3. POP3-SSL 保护拦截cat /etc/fail2ban/filter.d/courierlogin-ssl.conffailregex = LOGIN FAILED, .*, ip=\[<HOST>\]$这里表示错误地输入用户名/密码的pop3-ssl连接.vi /etc/fail2ban/jail.conf[POP3-SSL]enabled = truefilter = courierlogin-sslaction = iptables[name=pop3-ssl, port=995, protocol=tcp]logpath = /var/log/maillogbantime = 1800findtime = 300maxretry = 154 SMTP 保护拦截cat /etc/fail2ban/filter.d/couriersmtp.conffailregex = postfix/smtpd.* warning: unknown\[<HOST>\]: SASL LOGIN authentication failed: authentication failure这里表示错误地输入用户名/密码的smtp连接.vi /etc/fail2ban/jail.conf[SMTP]enabled = truefilter = couriersmtpaction = iptables[name=smtp, port=25:366, protocol=tcp]logpath = /var/log/maillogbantime = 1800findtime = 300maxretry = 15参数可以按照你实际要求修改.5. Extmail 登录保护由于Extmail 的web mail 登入没有做到保护,现在加固吧!vi /etc/fail2ban/filter.d/extmail.conffailregex = extmail.*: user=.*, client=<HOST>, module=login, status=badlogin这里表示错误地输入用户名/密码的web mail 登入.vi /etc/fail2ban/jail.conf[extmail]enabled = truefilter = extmailaction = iptables[name=httpd, port=http, protocol=tcp]logpath = /var/log/maillogbantime = 300findtime = 300maxretry = 66. POSTFIX 保护User unknow 的试探.不知道这个动作的意思先看看这篇文章。http://hi.baidu.com/enjoyunix/blog/item/e8506058fd3c3189810a183a.htmlvi /etc/fail2ban/filter.d/postfix.conffailregex = reject: RCPT from (.*)\[<HOST>\]: 450vi /etc/fail2ban/jail.conf[POSTFIX]enabled = truefilter = postfixaction = iptables[name=postfix, port=25, protocol=tcp]logpath = /var/log/maillogbantime = 43200findtime = 1200maxretry = 5这里保护了User unknow 的试探以及垃圾邮件跳信***。五 看看iptablesiptables -L -nvpkts bytes target prot opt in out source destination 0 0 fail2ban-pop3-ssl tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:995 773 83329 fail2ban-postfix tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 299 12660 fail2ban-pop3 tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:110 301 12740 fail2ban-ftp tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 3354 253K fail2ban-SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 438 33979 fail2ban-httpd tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 5703 packets, 829K bytes)pkts bytes target prot opt in out source destination Chain fail2ban-SSH (1 references)pkts bytes target prot opt in out source destination 3354 253K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-ftp (1 references)pkts bytes target prot opt in out source destination 301 12740 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-httpd (1 references)pkts bytes target prot opt in out source destination 438 33979 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-pop3 (1 references)pkts bytes target prot opt in out source destination 299 12660 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-pop3-ssl (1 references)pkts bytes target prot opt in out source destination 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-postfix (1 references)pkts bytes target prot opt in out source destination 773 83329 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 Chain fail2ban-smtp (0 references)pkts bytes target prot opt in out source destination 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 如何监察呢?#watch -n 1 fail2ban-client status POSTFIXStatus for the jail: POSTFIX|- filter| |- File list: /var/log/maillog | |- Currently failed: 2| `- Total failed: 22`- action |- Currently banned: 0 | `- IP list: `- Total banned: 0看看那些垃圾邮件者真是好无聊!不断地试探我的邮件服务器呢。六 看看fail2ban的日志# cat fail2ban.log | grep '] Ban '2009-04-07 20:22:44,575 fail2ban.actions: WARNING [POSTFIX] Ban ip地址就以看到过去有那些IP拦截了,以及是那个服务。# cat fail2ban.log | grep '] Unban '可以查看什么时候解的。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- CentOS6.3下安装fail2ban防暴力破解工具
- CentOS下安装fail2ban防暴力破解工具
- CentOS下安装fail2ban防暴力破解工具
- Centos6.4 安装fail2ban防暴力破解
- Centos 7安装Fail2ban防御暴力破解密码(配合FirewallD)
- Fail2ban 防止暴力破解centos服务器的SSH或者FTP账户
- Fail2ban 防止暴力破解centos服务器的SSH或者FTP账户
- 安装fail2ban过滤vpopmail暴力破解密码
- CentOS6.3下修复yum安装工具
- centos 7 DenyHosts 安装 防暴力破解ssh登陆
- fail2ban安装教程,防止ssh和ftp密码被暴力破解
- fail2ban-防止用户暴力破解ssh工具
- CentOS6.3下修复yum安装工具(转)
- Linux下的暴力密码在线破解工具Hydra安装及其组件安装-使用
- CentOS [缺陷库管理工具JIRA]最新Linux版本jira6.3.6安装汉化破解以及数据迁移
- 安装配置fail2ban防止暴力破解
- CentOS6.3下修复yum安装工具
- sshd 防暴力破解工具fail2ban 使用
- 学习RTEMS前的准备(2)----在CentOS 6.3下安装RTEMS工具链
- linux暴力密码破解工具hydra安装与使用