開源入侵預防工具

時間:2024-10-07 13:33:11 好文 我要投稿
  • 相關推薦

開源入侵預防工具

  生產環境中的Apache  HTTP服務器可能會遭到各種不同方式的攻擊。攻擊者可能采用蠻力攻擊或執行惡意腳本,企圖訪問未經授權的目錄或禁止訪問的目錄。一些惡意機器人程序可能會掃描你的網站,查找任何可能存在的安全漏洞,或者收集電子郵件地址或網站表單,以便發送垃圾郵件。

  Apache  HTTP服務器隨帶全面的日志功能,可以捕獲及記錄表明此類攻擊的異常事件。不過,系統性地分析詳細的Apache日志,并迅速應對潛在攻擊(比如禁止/取消禁止冒犯性的IP地址)仍然很重要。這時候fail2ban派得上用場,可以簡化系統管理員的工作。

  fail2ban是一款開源入侵預防工具,可以根據系統日志來檢測各種各樣的攻擊,并且自動采取預防行動,比如說使用iptables禁止IP地址,通過/etc/hosts.deny阻止連接,或者通過電子郵件通知事件。fail2ban隨帶一組預先定義的“jail”(暫譯“監獄”),這些jail使用針對特定應用程序的日志過濾器來檢測常見攻擊。你還可以編寫自定義的jail,阻止針對任意應用程序的任何特定的攻擊。

  我在本教程中將演示你如何可以配置fail2ban,以保護Apache HTTP服務器。我假設你事先已經安裝好了Apache  HTTP服務器和fail2ban。至于fail2ban的安裝,請參閱另一篇教程:。

  fail2ban Jail是什么?

  首先允許我比較詳細地介紹一下fail2ban  jail。jail定義了針對特定應用程序的策略,fail2ban根據該策略來觸發保護某個應用程序的行動。針對Apache、Dovecot、Lighttpd、MySQL、Postfix和SSH之類的流行應用程序,fail2ban隨帶幾個在/etc/fail2ban/jail.conf中預先定義的jail。每個jail依靠針對特定應用程序的日志過濾器(位于/etc/fail2ban/fileter.d)來檢測常見攻擊。不妨看一個示例性的jail:SSH  jail。

  [ssh]

  enabled = true

  port = ssh

  filter = sshd

  logpath = /var/log/auth.log

  maxretry = 6

  banaction = iptables-multiport

  這個SSH jail的配置由幾個參數來定義:

  [ssh]:jail的名稱,帶方括號。

  enabled:該jail是不是激活。

  port:要保護的端口號(數字編號或公共名)。

  filter:用來檢測攻擊的分析日志的規則。

  logpath:要仔細分析的日志文件。

  maxretry:禁止之前最多失敗次數。

  banaction:禁止動作。

  jail配置中定義的任何參數將覆蓋對應的適用整個fail2ban范圍的默認參數。反過來,任何遺漏的參數會被賦予在[DEFAULT]部分中定義的默認值。

  預先定義的日志過濾器位于/etc/fail2ban/filter.d,可用的動作位于/etc/fail2ban/action.d。

  如果你想覆蓋fail2ban默認參數或者定義任何自定義的jail,只要通過創建/etc/fail2ban/jail.local文件就能實現。我在本教程中將使用/etc/fail2ban/jail.local。

  啟用預先定義的Apache Jail

  默認安裝的fail2ban為Apache HTTP服務器提供了幾種預先定義的jail和過濾器。我準備啟用那些內置的Apache  jail。由于Debian配置和紅帽配置略有差異,我為它們單獨提供了fail2ban jail配置。

  在Debian或Ubuntu上啟用Apache Jail

  想在基于Debian的系統上啟用預先定義的Apache jail,就要創建/etc/fail2ban/jail.local,如下所示。

  $ sudo vi /etc/fail2ban/jail.local

  # 檢測密碼驗證失敗

  [apache]

  enabled = true

  port = http,https

  filter = apache-auth

  logpath = /var/log/apache*/*error.log

  maxretry = 6

  # 檢測搜索安全薄弱環節和php漏洞的潛在行為

  [apache-noscript]

  enabled = true

  port = http,https

  filter = apache-noscript

  logpath = /var/log/apache*/*error.log

  maxretry = 6

  # 檢測Apache溢出企圖

  [apache-overflows]

  enabled = true

  port = http,https

  filter = apache-overflows

  logpath = /var/log/apache*/*error.log

  maxretry = 2

  # 檢測未能在服務器上找到主目錄的活動

  [apache-nohome]

  enabled = true

  port = http,https

  filter = apache-nohome

  logpath = /var/log/apache*/*error.log

  maxretry = 2

  由于上述沒有一個jail指定動作,所有這些jail被觸發后將執行默認動作。想弄清楚默認動作,尋找/etc/fail2ban/jail.conf中[DEFAULT]部分下面的“banaction”。

  banaction = iptables-multiport

  在這個情況下,默認動作是iptables-multiport(在/etc/fail2ban/action.d/iptables-multiport.conf中定義)。該動作使用iptables以及multiport模塊禁止IP地址。

  啟用jail后,你必須重啟fail2ban,以便裝入jail。

  $ sudo service fail2ban restart

  在CentOS/RHEL或Fedora上啟用Apache jail

  想在基于紅帽的系統上啟用預先定義的Apache jail,就要創建/etc/fail2ban/jail.local,如下所示。

  $ sudo vi /etc/fail2ban/jail.local

  # 檢測密碼驗證失敗

  [apache]

  enabled = true

  port = http,https

  filter = apache-auth

  logpath = /var/log/httpd/*error_log

  maxretry = 6

  # 檢測搜索電子郵件地址的垃圾郵件機器人程序

  [apache-badbots]

  enabled = true

  port = http,https

  filter = apache-badbots

  logpath = /var/log/httpd/*access_log

  bantime = 172800

  maxretry = 1

  #檢測搜索安全薄弱環節和php漏洞的潛在行為vulnerabilities

  [apache-noscript]

  enabled = true

  port = http,https

  filter = apache-noscript

  logpath = /var/log/httpd/*error_log

  maxretry = 6

  # 檢測Apache溢出企圖

  [apache-overflows]

  enabled = true

  port = http,https

  filter = apache-overflows

  logpath = /var/log/httpd/*error_log

  maxretry = 2

  # 檢測未能在服務器上找到主目錄的活動

  [apache-nohome]

  enabled = true

  port = http,https

  filter = apache-nohome

  logpath = /var/log/httpd/*error_log

  maxretry = 2

  # 檢測未能執行與幾種流行Web服務

  # (比如webmail,phpMyAdmin,WordPress)

  # 有關的不存在腳本

  port = http,https

  filter = apache-botsearch

  logpath = /var/log/httpd/*error_log

  maxretry = 2

【開源入侵預防工具】相關文章:

遠古入侵作文11-27

我的工具箱作文09-10

工具理性之拷問作文08-05

萬能工具箱作文08-21

預防溺水的作文11-29

預防溺水安全03-04

預防臺風公告03-13

謹慎預防詐騙09-29

預防溺水作文11-24

預防近視的方法04-15

国产v亚洲v天堂无码网站,综合亚洲欧美日韩一区二区,精品一级毛片A久久久久,欧美一级待黄大片视频
亚洲国产精品路线一 | 欧美激情精品久久久久久多 | 色午夜日本高清 | 亚洲精品v欧美精品v日韩精品 | 亚洲中文字幕在线区二 | 久久国内中文字幕 |