Fail2ban使用心得分享.ppt

Fail2ban使用心得分享 復旦高中 陳宏智 Fail2ban Fail2ban 是一套以 Python 語言所撰寫的 GPLv2 授權軟體，藉由分析系統紀錄檔，設定過濾條件 (filter) 及動作 (action)。當符合我們所設定的過濾條件時，將觸發相對動作來達到防禦效果。 Fail2ban架構 jail.(conf|local) 用來設定 jail，即是定義 filter 與 action 的對應關係。 filter.d/ 用來定義過濾條件 (filter)，目錄下已定義多種既有的過濾條件，常見的軟體有 apache、sshd、vsftpd、postfix 等，而常見記錄檔格式也可能為 Syslog、Common Log Format 等。 action.d/ 用來定義動作內容 (action)，目錄下已定義多種既有的動作內容，如「sendmail 寄信通知」、「iptables 阻擋來源位址」、「使用 whois 查詢來源 domain 資訊」或「自動通知該來源 IP 的管理者」。  目前郵件伺服器設定功能 監看maillog檔，除了本機()IP之外： 同一IP，在20分鐘內，達6次SASL登入失敗，使用iptables設定檔，阻斷1小時。 目前郵件伺服器設定功能 監看Fail2ban.log檔，除了本機()IP之外： 同一IP，在1天之內，達3次阻斷1小時之後，第4次阻斷時間延長為3天。 Jail.conf 設定過濾條件（maillog) 正規表示語法 /var/log/maillog: warning: unknown[]: SASL LOGIN authentication failed: authentication failure /etc/fail2ban/filter.d/sasl.conf : warning: .*\[HOST\]: SASL LOGIN authentication failed Filter.d/sasl.conf Action.d/iptables.conf /var/log/fail2ban.log /var/log/messages Fail2ban-clients status SASL 認證失敗次數 統計 資訊來源 清華大學計算機與通訊中心－網路系統組 .tw/2009/security:fail2ban 個人實做 2907 2707 5217 100-03-27 226 100-04-22 100-03-28 124 100-04-23 100-03-29 144 100-04-24 安裝前 安裝後 *