之前我写过一个shell script，实现过“主动式防火墙”，即从访问特征中找到潜在的威胁，通过iptables防火墙直接deny。大致原理也很简单：

 

　　cat 日志，并通过awk从日志中分离出来源ip

 

　　通过sort + uniq -c 对IP和访问数量进行统计

 

　　获取访问量最高的几个来源，一旦达到阀值启动iptables策略进行封堵。

 

　　这样一个脚本只要定期通过cron服务调用就可以实现主动防火墙的效果。但时间一长，这个方法的弊端就体现出来，首先是不够灵活，对于时间的粒度调整和黑白名单的设置上就很麻烦；其次是这种方法仅能针对某一种服务，例如apache的80号，对于类似全端口扫描之类的联合攻击反而起不到应有的作用。

 

　　本来我打算用python写一个综合的入侵日志分析+iptables调用框架，没想到确实有先人已经早我很久实现了，这就是本文要介绍的fail2ban。

 

　　安装fail2ban

 

　　还是ubuntu，apt库中就有这个项目apt-get install fail2ban

 

　　service fail2ban start 启动这个服务。

 

　　如果确实需要源码编译，可以到该项目的主页下载源码，安装过程更接近于python扩展的安装。需要说明的是fail2ban是基于gamin服务框架的，编译时需要安装python-gamin的支持库。

 

　　配置服务

 

　　apt方式安装后，/etc/fail2ban目录下有几个配置文件 fail2ban.conf 主要是定义了服务器的日志和监听端口什么的，可以不去理会，直接打开jail.conf

 

　　[DEFAULT]为默认的配置配置参数很多，主要介绍几个常用的吧：

 

　　ignoreip = 127.0.0.1/8 白名单地址，支持网段，多个地址之间用空格隔开。此地址段的地址不会被封堵。

 

　　bantime = 600 封堵时间，单位是秒

 

　　maxretry = 3 个人觉得这个配置有点误导，其实是过滤器(后面说)过滤出来的日志中符合规则需要封堵的次数。

 

　　我们用默认的[ssh]服务来介绍针对于某一个服务的配置：

 

　　enabled = true 是否启用，没什么好说的

 

　　port = ssh 封堵端口，支持端口号和协议名两种方式，多个端口用逗号隔开

 

　　filter = sshd 过滤器名称，默认的过滤器在/etc/fail2ban/filter.d目录下，以.conf结尾，本例中针对/etc/fail2ban/filter.d/sshd.conf

 

　　logpath = /var/log/auth.log 日志路径

 

　　maxretry = 6 最大重试次数，同上

 

　　过滤器的配置其实很简单，需要懂得使用正则表达式来进行日志过滤，

 

　　failregex = reject： RCPT from (.*)[]： 554 过滤的正则表达式，可以通过多行表示多个规则。

 

　　fail2ban还有一个客户端工具叫做 fail2ban-client ，可以通过它完成整个fail2ban的配置，相对来说比较简单，这里也就不累述了。

 

　　其他

 

　　个人觉得这个fail2ban是很方便的一个工具，几乎不需要太多的配置。可能有的人需要通过程序端，例如php进行防火墙的操作，正如我现在所做的一样，程序会定期将IP写入一个文件中，通过过滤器直接取出ip进行封堵即可。