fail2ban是一款強(qiáng)大的系統(tǒng)日志分析監(jiān)控軟件，它適用于安裝在服務(wù)器上，可以監(jiān)視你的系統(tǒng)日志，然后匹配日志的錯(cuò)誤信息（正則式匹配）執(zhí)行相應(yīng)的屏蔽動(dòng)作。

【功能特色】

　　1、支持大量服務(wù)。如sshd,apache,qmail,proftpd,sasl等等

　　2、支持多種動(dòng)作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(郵件通知)等等。

　　3、在logpath選項(xiàng)中支持通配符

　　4、需要Gamin支持(注：Gamin是用于監(jiān)視文件和目錄是否更改的服務(wù)工具)

　　5、需要安裝python,iptables,tcp-wrapper,shorewall,Gamin。如果想要發(fā)郵件，那必需安裝postfix/sendmail

【操作方法】

　　/下載rpmforge (里面有大量最新的rpm包)

　　# wget URL< 此URL請(qǐng)用擴(kuò)展閱讀中的地址替換>

　　//安裝rpmforge

　　# rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm

　　//用yum安裝fail2ban

　　# yum install fail2ban

　　安裝完成后，fail2ban 的設(shè)定檔在這里

　　# /etc/fail2ban

　　fail2ban.conf 日志設(shè)定文檔

　　jail.conf 阻擋設(shè)定文檔

　　/etc/fail2ban/filter.d 具體阻擋內(nèi)容設(shè)定目錄

　　默認(rèn)fail2ban.conf里面就三個(gè)參數(shù)，而且都有注釋。

　　-------------------------------

　　#默認(rèn)日志的級(jí)別

　　loglevel = 3

　　#日志的目的

　　logt*arget = /var/log/fail2ban.log

　　#socket的位置

　　socket = /tmp/fail2ban.sock

　　-------------------------------

　　jail.conf配置里是fail2ban所保護(hù)的具體服務(wù)的配置，這里以SSH來講。

　　在jail.conf里有一個(gè)[DEFAULT]段，在這個(gè)段下的參數(shù)是全局參數(shù)，可以被其它段所覆蓋。

　　-------------------------------

　　#忽略IP,在這個(gè)清單里的IP不會(huì)被屏蔽

　　ignoreip = 127.0.0.1 172.13.14.15

　　#屏蔽時(shí)間

　　bantime = 600

　　#發(fā)現(xiàn)時(shí)間，在此期間內(nèi)重試超過規(guī)定次數(shù)，會(huì)激活fail2ban

　　findtime = 600

　　#嘗試次數(shù)

　　maxretry = 3

　　#日志修改檢測機(jī)制

　　backend = auto

　　[ssh-iptables]

　　#激活

　　enabled = true

　　#filter的名字，在filter.d目錄下

　　filter = sshd

　　#所采用的工作，按照名字可在action.d目錄下找到

　　action = iptables[name=SSH, port=ssh, protocol=tcp]

　　mail-whois[name=SSH, dest=root]

　　#目的分析日志

　　logpath = /var/log/secure

　　#覆蓋全局重試次數(shù)

　　maxretry = 5

　　#覆蓋全局屏蔽時(shí)間

　　bantime = 3600

　　-------------------------------

　　對(duì)jail.conf進(jìn)行一定的設(shè)置后，就可以使用fail2ban了。

　　//啟動(dòng)fail2ban

　　# service fail2ban start

　　啟動(dòng)之后，只要符合filter所定義的正則式規(guī)則的日志項(xiàng)出現(xiàn)，就會(huì)執(zhí)行相應(yīng)的action。

標(biāo)簽： 系統(tǒng)日志 系統(tǒng)防御 日志監(jiān)控