如何配置fail2ban保护Apache HTTP服务器

生产环境中的Apache HTTP服务器可能会遭到各种不同方式的攻击。攻击者可能采用蛮力攻击或执行恶意脚本,企图访问未经授权的目录或禁止访问的目录。一些恶意机器人程序可能会扫描你的网站,查找任何可能存在的安全漏洞,或者收集电子邮件地址或网站表单,以便发送垃圾邮件。

Apache HTTP服务器随带全面的日志功能,可以捕获及记录表明此类攻击的异常事件。不过,系统性地分析详细的Apache日志,并迅速应对潜在攻击(比如禁止/取消禁止冒犯性的IP地址)仍然很重要。这时候fail2ban派得上用场,可以简化系统管理员的工作。

fail2ban是一款开源入侵预防工具,可以根据系统日志来检测各种各样的攻击,并且自动采取预防行动,比如说使用iptables禁止IP地址,通过/etc/hosts.deny阻止连接,或者通过电子邮件通知事件。fail2ban随带一组预先定义的“jail”(暂译“监狱”),这些jail使用针对特定应用程序的日志过滤器来检测常见攻击。你还可以编写自定义的jail,阻止针对任意应用程序的任何特定的攻击。

我在本教程中将演示你如何可以配置fail2ban,以保护Apache HTTP服务器。我假设你事先已经安装好了Apache HTTP服务器和fail2ban。至于fail2ban的安装,请参阅另一篇教程:http://xmodulo.com/how-to-protect-ssh-server-from-brute-force-attacks-using-fail2ban.html。

fail2ban Jail是什么?

首先允许我比较详细地介绍一下fail2ban jail。jail定义了针对特定应用程序的策略,fail2ban根据该策略来触发保护某个应用程序的行动。针对Apache、Dovecot、Lighttpd、MySQL、Postfix和SSH之类的流行应用程序,fail2ban随带几个在/etc/fail2ban/jail.conf中预先定义的jail。每个jail依靠针对特定应用程序的日志过滤器(位于/etc/fail2ban/fileter.d)来检测常见攻击。不妨看一个示例性的jail:SSH jail。

[ssh]

enabled = true

port = ssh

filter = sshd

logpath = /var/log/auth.log

maxretry = 6

banaction = iptables-multiport

这个SSH jail的配置由几个参数来定义:

•[ssh]:jail的名称,带方括号。

•enabled:该jail是不是激活。

•port:要保护的端口号(数字编号或公共名)。

•filter:用来检测攻击的分析日志的规则。

•logpath:要仔细分析的日志文件。

•maxretry:禁止之前最多失败次数。

•banaction:禁止动作。

jail配置中定义的任何参数将覆盖对应的适用整个fail2ban范围的默认参数。反过来,任何遗漏的参数会被赋予在[DEFAULT]部分中定义的默认值。

预先定义的日志过滤器位于/etc/fail2ban/filter.d,可用的动作位于/etc/fail2ban/action.d。

如果你想覆盖fail2ban默认参数或者定义任何自定义的jail,只要通过创建/etc/fail2ban/jail.local文件就能实现。我在本教程中将使用/etc/fail2ban/jail.local。

启用预先定义的Apache Jail

默认安装的fail2ban为Apache HTTP服务器提供了几种预先定义的jail和过滤器。我准备启用那些内置的Apache jail。由于Debian配置和红帽配置略有差异,我为它们单独提供了fail2ban jail配置。

在Debian或Ubuntu上启用Apache Jail

想在基于Debian的系统上启用预先定义的Apache jail,就要创建/etc/fail2ban/jail.local,如下所示。

$ sudo vi /etc/fail2ban/jail.local

# 检测密码验证失败

[apache]

enabled = true

port = http,https

filter = apache-auth

logpath = /var/log/apache*/*error.log

maxretry = 6

# 检测搜索安全薄弱环节和php漏洞的潜在行为

[apache-noscript]

enabled = true

port = http,https

filter = apache-noscript

logpath = /var/log/apache*/*error.log

maxretry = 6

# 检测Apache溢出企图

[apache-overflows]

enabled = true

port = http,https

filter = apache-overflows

logpath = /var/log/apache*/*error.log

maxretry = 2

# 检测未能在服务器上找到主目录的活动

[apache-nohome]

enabled = true

port = http,https

filter = apache-nohome

logpath = /var/log/apache*/*error.log

maxretry = 2

由于上述没有一个jail指定动作,所有这些jail被触发后将执行默认动作。想弄清楚默认动作,寻找/etc/fail2ban/jail.conf中[DEFAULT]部分下面的“banaction”。

banaction = iptables-multiport

在这个情况下,默认动作是iptables-multiport(在/etc/fail2ban/action.d/iptables-multiport.conf中定义)。该动作使用iptables以及multiport模块禁止IP地址。

启用jail后,你必须重启fail2ban,以便装入jail。

$ sudo service fail2ban restart

在CentOS/RHEL或Fedora上启用Apache jail

想在基于红帽的系统上启用预先定义的Apache jail,就要创建/etc/fail2ban/jail.local,如下所示。

$ sudo vi /etc/fail2ban/jail.local

# 检测密码验证失败

[apache]

enabled = true

port = http,https

filter = apache-auth

logpath = /var/log/httpd/*error_log

maxretry = 6

# 检测搜索电子邮件地址的垃圾邮件机器人程序

[apache-badbots]

enabled = true

port = http,https

filter = apache-badbots

logpath = /var/log/httpd/*access_log

bantime = 172800

maxretry = 1

#检测搜索安全薄弱环节和php漏洞的潜在行为vulnerabilities

[apache-noscript]

enabled = true

port = http,https

filter = apache-noscript

logpath = /var/log/httpd/*error_log

maxretry = 6

# 检测Apache溢出企图

[apache-overflows]

enabled = true

port = http,https

filter = apache-overflows

logpath = /var/log/httpd/*error_log

maxretry = 2

# 检测未能在服务器上找到主目录的活动

[apache-nohome]

enabled = true

port = http,https

filter = apache-nohome

logpath = /var/log/httpd/*error_log

maxretry = 2

# 检测未能执行与几种流行Web服务

# (比如webmail,phpMyAdmin,WordPress)

# 有关的不存在脚本

port = http,https

filter = apache-botsearch

logpath = /var/log/httpd/*error_log

maxretry = 2

请注意:所有这些jail的默认动作是iptables-multiport(定义为/etc/fail2ban/jail.conf中[DEFAULT]下面的“banaction”)。该动作使用iptable以及multiport模块禁止IP地址。

启用jail后,你必须重启fail2ban,将jail装入到fail2ban中。

在Fedora或CentOS/RHEL 7上:

$ sudo systemctl restart fail2ban

在CentOS/RHEL 6上:

$ sudo service fail2ban restart

检查和管理Fail2ban禁止状态

一旦jail被激活,你可以使用fail2ban-client命令行工具,监控当前的禁止状态。

想查看活动jail列表:

$ sudo fail2ban-client status

想查看某一个jail的状态(包括被禁止IP列表):

$ sudo fail2ban-client status [name-of-jail]

你还可以手动禁止或取消禁止IP地址。

想让某一个jail禁止IP地址:

$ sudo fail2ban-client set [name-of-jail] banip [ip-address]

想取消禁止某个jail阻止的IP地址:

$ sudo fail2ban-client set [name-of-jail] unbanip [ip-address]

结束语

这篇教程介绍了fail2ban jail是如何工作的,以及如何使用内置的Apache jail保护Apache HTTP服务器。你可能需要改动现有的jail,或者编写自定义的jail和日志过滤器,这要看你的环境以及需要保护的Web服务的具体类型。参阅outfail2ban的官方Github页面:https://github.com/fail2ban/fail2ban,即可了解jail和过滤器的最新例子。

你是否在任何生产环境中使用fail2ban?欢迎交流经验和心得。

(0)

相关推荐

  • Apache Web服务器.htaccess文件配置

    htAccess是Apache服务器的一个配置文件,具有强大的功能,本文介绍如何编辑该文件,让网站实现封锁某国家IP网段、防止图片、文件盗链、保护主机下的目录与文件、创建自定义的出错页面、把某些特殊的 ...

  • Fedora下配置ipv6的Apache服务器的方法

    操作系统:Fedora 14 Web版本:Apache2.2.17 前提条件要支持IPv6 首先,Apache2.2.17本身已近支持了IPv6,Apache的安装就不详细介绍了。这个可以自行goog ...

  • Apache Web服务器安全设置注意事项

    HTTP拒绝服务攻击 攻击者通过某些手段使服务器拒绝对http应答,这使Apache对系统资源(cup时间与内存)需求巨增,最终造成系统变慢甚至完全瘫痪,Apache服务器最大的缺点是,它的普遍性使它 ...

  • 如何在Ubuntu上搭建一台安全的Apache Web服务器?

    本教程假设你已有一台在运行的Ubuntu服务器,网络方面已设置好,而且可以通过SSH进行访问. Apache2是许多安装的Linux发行版使用的默认Web服务器.它不是对所有环境来说唯一可用的Web服 ...

  • 保护(IIS)web服务器的几个技巧

    通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问.在过去的几年中,越来越多的黑客.病毒和蠕虫带来的安全问题严重影响了网站的可访问性,尽管Apache服务器也常常是攻 ...

  • 配置Win2003自带mail服务器

    一、安装POP3和SMTP服务组件 Windows Server 2003默认情况下是没有安装POP3和SMTP服务组件的,因此我们要手工添加。 1.安装POP3服务组件 以系统管理员身份登录Wind ...

  • 配置基于Win 2003的服务器

    以便当计算机资源不足时通知您。Windows Server 2003 中的程序从对象、计数器和实例三个方面来定义它收集的性能数据。 性能对象是可以测量的任何资源、程序或服务。您可以使用“系统监视器”和 ...

  • 如何配置Outlook以从IMAP服务器接收电子邮件

    与POP3不同的地方,IMAP4允许您在默认情况下将邮件存储在服务器上,而不是将其下载到本地. 小编分享以下几种配置方法将Outlook配置为IMAP4客户端: 操作方法 01 方法一:Mcrosof ...

  • iphone配置exchange邮件无法连接服务器怎么办?

    iphone配置好exchange邮件后竟然无法收邮件,这是什么情况测试都通过了怎么就是收不到邮件呢.下面教你怎么重新配置. 操作方法 01 iphones配置好exchange邮件后,如果4G或者w ...