网络安全 · Network security

fail2ban自定义log和filter

•̀.̫•́✧ · 4月15日 · 2021年本文659字 · 阅读2分钟101

前言

站点上不时存在大量的恶意请求,最开始的做法是跑脚本把IP加入iptables黑名单。慢慢发现这个方案的的弊端是IP将被永久封杀,处于动态分配IP的用户有可能被误杀,并且一直无法访问。

fail2ban自定义log和filter

解决的方案是添加时效性:恶意IP封杀一段时间后自动解除。要实现这个方案,需要一个守护进程,收集客户端提交的IP和时间,将IP拉入黑名单一段时间后,又自动移除。为了防止系统重启失效,一些数据还应该被持久化到硬盘上。

实现这样一个c/s模式的防护脚本不难,但已有现成方案,无需自己实现:fail2ban

以下是利用fail2ban的解决方案

1.应用程序将log写入到指定文件

最重要的两项是时间和IP,格式任意。例如:

2016-6-20 12:32:12 114.114.114.114 too many connections;

2.添加fail2ban filter

例如:

# APP guide
[Definition]
failregex = ^.*  .*$$
ignoreregex = 

过滤器主要是匹配失败的记录,用failregex表达式进行正则匹配。是fail2ban内置的变量,代表主机IP。

3.启用规则

编辑 /etc/fail2ban/jail.conf。添加类似下面的行数:

[app guide]
filter = app-guide
enabled = true
logpath = /path/to/log
maxretry = 3
findtime = 300
bantime = 7200
return type = DROP

4.重启fail2ban

service fail2ban restart
0 条回应