3

统信操作系统UOS1060上通过Fail2Ban来Ban IP

 11 months ago
source link: https://blog.51cto.com/pengds/7872694
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

统信操作系统UOS1060上通过Fail2Ban来Ban IP

精选 原创

原文链接: 统信UOS 1060上通过Fail2Ban来Ban IP

hello,大家好啊,今天给大家带来一篇在统信UOS 1060上安装Fail2Ban并且当ip被ban后通过邮件发送通知的文章。Fail2Ban 是一个用于防止暴力attack的开源软件。它可以扫描日志文件(例如,SSH或Web服务器日志文件)以查找IP地址,这些IP地址在定义的时间段内显示了太多的失败登录尝试,并在防火墙规则中封锁它们(通常使用iptables)。Fail2Ban通常用于防止各种类型的暴力attack,例如SSH暴力attack、邮件服务器attack等。

1、查看系统版本信息

pdsyw@pdsyw-PC:~/Desktop$ uname -a
Linux pdsyw-PC 4.19.0-arm64-desktop #6030 SMP Tue Jun 27 15:28:10 CST 2023 aarch64 GNU/Linux
pdsyw@pdsyw-PC:~/Desktop$ 
pdsyw@pdsyw-PC:~/Desktop$ 
pdsyw@pdsyw-PC:~/Desktop$ cat /etc/os-version 
[Version] 
SystemName=UOS Desktop
SystemName[zh_CN]=统信桌面操作系统
ProductType=Desktop
ProductType[zh_CN]=桌面
EditionName=Professional
EditionName[zh_CN]=专业版
MajorVersion=20
MinorVersion=1060
OsBuild=11014.100.100
pdsyw@pdsyw-PC:~/Desktop$
统信操作系统UOS1060上通过Fail2Ban来Ban IP_desktop

2、配置fail2ban----安装fail2ban软件

pdsyw@pdsyw-PC:~/Desktop$ sudo apt update
请输入密码:
验证成功
命中:1 https://cdn-professional-security.chinauos.com eagle/1060 InRelease 
命中:2 https://pro-driver-packages.uniontech.com eagle InRelease 
命中:3 https://professional-packages.chinauos.com/desktop-professional eagle InRelease 
命中:4 https://professional-packages.chinauos.com/printer eagle InRelease 
命中:5 https://app-store-files.uniontech.com/231013140032791/appstore eagle-pro InRelease
正在读取软件包列表... 完成 
正在分析软件包的依赖关系树 
正在读取状态信息... 完成 
有 156 个软件包可以升级。请执行 ‘apt list --upgradable’ 来查看它们。
pdsyw@pdsyw-PC:~/Desktop$ sudo apt install fail2ban -y
正在读取软件包列表... 完成
正在分析软件包的依赖关系树 
正在读取状态信息... 完成 
下列软件包是自动安装的并且现在不需要了:
libutempter0 squashfs-tools x11-apps x11-session-utils xbitmaps xinit
使用'sudo apt autoremove'来卸载它(它们)。
将会同时安装下列软件:
python3-pyinotify python3-systemd whois
建议安装:
mailx monit python-pyinotify-doc
下列【新】软件包将被安装:
fail2ban python3-pyinotify python3-systemd whois
升级了 0 个软件包,新安装了 4 个软件包,要卸载 0 个软件包,有 156 个软件包未被升级。
需要下载 522 kB 的归档。
解压缩后会消耗 2,550 kB 的额外空间。
获取:1 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 fail2ban all 0.10.2-2.1 [385 kB]
获取:2 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 python3-pyinotify all 0.9.6-1 [26.9 kB]
获取:3 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 python3-systemd arm64 234-2+b1 [34.9 kB]
获取:4 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 whois arm64 5.4.3 [75.6 kB]
已下载 522 kB,耗时 1秒 (351 kB/s)
正在选中未选择的软件包 fail2ban。
(正在读取数据库 ... 系统当前共安装有 198268 个文件和目录。)
准备解压 .../fail2ban_0.10.2-2.1_all.deb ...
正在解压 fail2ban (0.10.2-2.1) ...
/var/cache/apt/archives/fail2ban_0.10.2-2.1_all.deb
正在选中未选择的软件包 python3-pyinotify。
准备解压 .../python3-pyinotify_0.9.6-1_all.deb ...
正在解压 python3-pyinotify (0.9.6-1) ...
/var/cache/apt/archives/python3-pyinotify_0.9.6-1_all.deb
正在选中未选择的软件包 python3-systemd。
准备解压 .../python3-systemd_234-2+b1_arm64.deb ...
正在解压 python3-systemd (234-2+b1) ...
/var/cache/apt/archives/python3-systemd_234-2+b1_arm64.deb
正在选中未选择的软件包 whois。
准备解压 .../archives/whois_5.4.3_arm64.deb ...
正在解压 whois (5.4.3) ...
/var/cache/apt/archives/whois_5.4.3_arm64.deb
正在设置 whois (5.4.3) ...
正在设置 fail2ban (0.10.2-2.1) ...
Created symlink /etc/systemd/system/multi-user.target.wants/fail2ban.service → /lib/systemd/system/fail2ban.service.
[fail2ban-tmpfiles.conf:1] Line references path below legacy directory /var/run/, updating /var/run/fail2ban → /run/fail2ban; please update the tmpfiles.d/ drop-in file accordingly.
正在设置 python3-pyinotify (0.9.6-1) ...
正在设置 python3-systemd (234-2+b1) ...
正在处理用于 man-db (2.8.5-2) 的触发器 ...
正在处理用于 systemd (241.52-deepin1) 的触发器 ...
pdsyw@pdsyw-PC:~/Desktop$
统信操作系统UOS1060上通过Fail2Ban来Ban IP_uos_02

3、配置fail2ban----启动fail2ban软件

pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl start fail2ban
pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl enable fail2ban
Synchronizing state of fail2ban.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable fail2ban
pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl status fail2ban
● fail2ban.service - Fail2Ban Service
Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
Active: active (running) since Fri 2023-10-13 20:27:45 CST; 5s ago
Docs: man:fail2ban(1)
Main PID: 6528 (fail2ban-server)
Tasks: 3 (limit: 4915)
Memory: 11.1M
CGroup: /system.slice/fail2ban.service
└─6528 /usr/bin/python3 /usr/bin/fail2ban-server -xf start
10月 13 20:27:45 pdsyw-PC systemd[1]: Starting Fail2Ban Service...
10月 13 20:27:45 pdsyw-PC systemd[1]: Started Fail2Ban Service.
10月 13 20:27:45 pdsyw-PC fail2ban-server[6528]: Server ready
10月 13 20:27:45 pdsyw-PC systemd[1]: /lib/systemd/system/fail2ban.service:12: PIDFile= references path below 
10月 13 20:27:45 pdsyw-PC systemd[1]: /lib/systemd/system/fail2ban.service:12: PIDFile= references path below 
10月 13 20:27:45 pdsyw-PC systemd[1]: /lib/systemd/system/fail2ban.service:12: PIDFile= references path below 
pdsyw@pdsyw-PC:~/Desktop$
统信操作系统UOS1060上通过Fail2Ban来Ban IP_uos_03

4、配置fail2ban----编辑/etc/fail2ban/jail.local文件

[sshd]: 这是一个节(section),它定义了一个名为sshd的监狱(jail)。监狱是Fail2Ban中的一个概念,用于定义一组规则,以确定何时应该封禁IP地址。
enabled = true: 这表示sshd监狱已启用。
port = ssh: 这指定了Fail2Ban应该监视的端口,这里是SSH的默认端口。
action = msmtp-whois-lines[name=SSHD, [email protected], [email protected]]: 这定义了当IP被封禁时要执行的动作。这里,msmtp-whois-lines动作被配置为发送包含封禁IP的whois信息的电子邮件。邮件的主题名为SSHD,收件人地址为[email protected],发件人地址为[email protected]。
logpath = %(sshd_log)s: 这指定了Fail2Ban应该监视的日志文件的路径。%(sshd_log)s是一个预定义的变量,通常指向SSH守护进程的日志文件。
maxretry = 5: 这定义了在Fail2Ban触发封禁之前允许的失败尝试次数。
bantime = 600: 这定义了封禁的持续时间(以秒为单位)。这里,600秒等于10分钟。
pdsyw@pdsyw-PC:~/Desktop$ sudo vi /etc/fail2ban/jail.local 
pdsyw@pdsyw-PC:~/Desktop$ cat /etc/fail2ban/jail.local 
[sshd]
enabled = true
port = ssh
action = msmtp-whois-lines[name=SSHD, [email protected], [email protected]]
logpath = %(sshd_log)s
maxretry = 5
bantime = 600
pdsyw@pdsyw-PC:~/Desktop$
统信操作系统UOS1060上通过Fail2Ban来Ban IP_Desktop_04

5、配置邮件通知----安装msmtp msmtp-mta软件

pdsyw@pdsyw-PC:~/Desktop$ sudo apt-get install msmtp msmtp-mta
正在读取软件包列表... 完成
正在分析软件包的依赖关系树 
正在读取状态信息... 完成 
下列软件包是自动安装的并且现在不需要了:
libutempter0 squashfs-tools x11-apps x11-session-utils xbitmaps xinit
使用'sudo apt autoremove'来卸载它(它们)。
将会同时安装下列软件:
libgsasl7 libntlm0
下列【新】软件包将被安装:
libgsasl7 libntlm0 msmtp msmtp-mta
升级了 0 个软件包,新安装了 4 个软件包,要卸载 0 个软件包,有 156 个软件包未被升级。
需要下载 373 kB 的归档。
解压缩后会消耗 1,179 kB 的额外空间。
您希望继续执行吗? [Y/n] y
获取:1 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 libntlm0 arm64 1.5-1+deb10u1+rebuild [23.6 kB]
获取:2 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 libgsasl7 arm64 1.8.0-8+b2 [198 kB]
获取:3 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 msmtp arm64 1.8.3-1 [133 kB]
获取:4 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 msmtp-mta arm64 1.8.3-1 [18.8 kB]
已下载 373 kB,耗时 1秒 (403 kB/s)
正在预设定软件包 ...
正在选中未选择的软件包 libntlm0:arm64。
(正在读取数据库 ... 系统当前共安装有 198747 个文件和目录。)
准备解压 .../libntlm0_1.5-1+deb10u1+rebuild_arm64.deb ...
正在解压 libntlm0:arm64 (1.5-1+deb10u1+rebuild) ...
/var/cache/apt/archives/libntlm0_1.5-1+deb10u1+rebuild_arm64.deb
正在选中未选择的软件包 libgsasl7。
准备解压 .../libgsasl7_1.8.0-8+b2_arm64.deb ...
正在解压 libgsasl7 (1.8.0-8+b2) ...
/var/cache/apt/archives/libgsasl7_1.8.0-8+b2_arm64.deb
正在选中未选择的软件包 msmtp。
准备解压 .../msmtp_1.8.3-1_arm64.deb ...
正在解压 msmtp (1.8.3-1) ...
/var/cache/apt/archives/msmtp_1.8.3-1_arm64.deb
正在选中未选择的软件包 msmtp-mta。
准备解压 .../msmtp-mta_1.8.3-1_arm64.deb ...
正在解压 msmtp-mta (1.8.3-1) ...
/var/cache/apt/archives/msmtp-mta_1.8.3-1_arm64.deb
正在设置 libntlm0:arm64 (1.5-1+deb10u1+rebuild) ...
正在设置 libgsasl7 (1.8.0-8+b2) ...
正在设置 msmtp (1.8.3-1) ...
正在设置 msmtp-mta (1.8.3-1) ...
msmtpd.service is a disabled or a static unit, not starting it.
正在处理用于 man-db (2.8.5-2) 的触发器 ...
正在处理用于 libc-bin (2.28.23-deepin1) 的触发器 ...
pdsyw@pdsyw-PC:~/Desktop$
统信操作系统UOS1060上通过Fail2Ban来Ban IP_uos_05

6、配置邮件通知----编辑/etc/msmtprc文件

defaults: 这一行开始定义默认设置区块。
auth on: 启用SMTP认证。
tls on: 启用TLS/SSL加密。
tls_trust_file /etc/ssl/certs/ca-certificates.crt: 指定CA证书的位置,用于验证远程服务器的证书。
logfile /var/log/msmtp.log: 指定msmtp的日志文件位置。
account qqmail: 定义一个名为qqmail的账户设置区块。
host smtp.qq.com: 设置SMTP服务器的地址。
port 587: 设置SMTP服务器的端口。
from [email protected]: 设置发件人地址。
auth login: 设置SMTP认证类型。
user [email protected]: 设置SMTP用户名。
password [YourAppPassword]: 设置SMTP密码。这里的[YourAppPassword]应该被替换为实际的应用密码。
account default : qqmail: 设置qqmail账户为默认账户。
pdsyw@pdsyw-PC:~/Desktop$ sudo vi /etc/msmtprc
pdsyw@pdsyw-PC:~/Desktop$ sudo cat /etc/msmtprc
defaults
auth on
tls on
tls_trust_file /etc/ssl/certs/ca-certificates.crt
logfile /var/log/msmtp.log
account qqmail
host smtp.qq.com
port 587
from [email protected]
auth login
user [email protected]
password [YourAppPassword]
account default : qqmail
pdsyw@pdsyw-PC:~/Desktop$
统信操作系统UOS1060上通过Fail2Ban来Ban IP_uos_06

7、配置邮件通知----确保日志可由msmtp写入

pdsyw@pdsyw-PC:~/Desktop$ sudo touch /var/log/msmtp.log
pdsyw@pdsyw-PC:~/Desktop$ sudo chown pdsyw:mail /var/log/msmtp.log
pdsyw@pdsyw-PC:~/Desktop$ sudo chmod 660 /var/log/msmtp.log
pdsyw@pdsyw-PC:~/Desktop$
统信操作系统UOS1060上通过Fail2Ban来Ban IP_python_07

8、配置fail2ban----使用 msmtp

pdsyw@pdsyw-PC:~/Desktop$ sudo vi /etc/fail2ban/action.d/msmtp-whois-lines.conf
pdsyw@pdsyw-PC:~/Desktop$ cat /etc/fail2ban/action.d/msmtp-whois-lines.conf
[INCLUDES]
before = sendmail-common.conf
helpers-common.conf
[Definition]
actionban = ( printf %%b "Subject: [Fail2Ban] <name>: banned <ip> from <fq-hostname>
Date: `LC_ALL=C date +"%%a, %%d %%h %%Y %%T %%z"`
From: <sendername> <<sender>>
To: <dest>\n
Hi,\n
The IP <ip> has just been banned by Fail2Ban after
<failures> attempts against <name>.\n\n
Here is more information about <ip> :\n
`/usr/bin/whois <ip> || echo missing whois program`\n\n
Lines containing failures of <ip>\n";
%(_grep_logs)s;
printf %%b "\n
Regards,\n
Fail2Ban" ) | msmtp -t
[Init]
name = default
logpath = /dev/null
pdsyw@pdsyw-PC:~/Desktop$
统信操作系统UOS1060上通过Fail2Ban来Ban IP_desktop_08

9、启动和测试 Fail2Ban

pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl start fail2ban
pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl enable fail2ban
Synchronizing state of fail2ban.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable fail2ban
pdsyw@pdsyw-PC:~/Desktop$ fail2ban-client -t
OK: configuration test is successful
pdsyw@pdsyw-PC:~/Desktop$
统信操作系统UOS1060上通过Fail2Ban来Ban IP_Desktop_09

10、监控 Fail2Ban 日志以确保 IP 地址被正确地封禁和解封

pdsyw@pdsyw-PC:~/Desktop$ sudo tail -f /var/log/fail2ban.log
2023-10-13 20:27:45,337 fail2ban.jail [6528]: INFO Jail 'sshd' uses pyinotify {}
2023-10-13 20:27:45,339 fail2ban.jail [6528]: INFO Initiated 'pyinotify' backend
2023-10-13 20:27:45,340 fail2ban.filter [6528]: INFO maxLines: 1
2023-10-13 20:27:45,348 fail2ban.server [6528]: INFO Jail sshd is not a JournalFilter instance
2023-10-13 20:27:45,349 fail2ban.filter [6528]: INFO Added logfile: '/var/log/auth.log' (pos = 25779, hash = d7fb092461318336103edd3a46d20259fe580f33)
2023-10-13 20:27:45,350 fail2ban.filter [6528]: INFO encoding: UTF-8
2023-10-13 20:27:45,350 fail2ban.filter [6528]: INFO maxRetry: 5
2023-10-13 20:27:45,350 fail2ban.filter [6528]: INFO findtime: 600
2023-10-13 20:27:45,350 fail2ban.actions [6528]: INFO banTime: 600
2023-10-13 20:27:45,351 fail2ban.jail [6528]: INFO Jail 'sshd' started
统信操作系统UOS1060上通过Fail2Ban来Ban IP_desktop_10

11、启动ssh服务

pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl enable ssh --now
Synchronizing state of ssh.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable ssh
pdsyw@pdsyw-PC:~/Desktop$
统信操作系统UOS1060上通过Fail2Ban来Ban IP_linux_11

12、通过另一个终端ssh连接测试,5次输错密码后无法连接

uos@uos-PC:~/Desktop$ ssh [email protected]
[email protected]'s password: 
Permission denied, please try again.
[email protected]'s password: 
Permission denied, please try again.
[email protected]'s password: 
[email protected]: Permission denied (publickey,password).
uos@uos-PC:~/Desktop$ ssh [email protected]
[email protected]'s password: 
Permission denied, please try again.
[email protected]'s password: 
Permission denied, please try again.
[email protected]'s password: 
[email protected]: Permission denied (publickey).
uos@uos-PC:~/Desktop$ ssh [email protected]
[email protected]'s password: 
[email protected]: Permission denied (publickey).
uos@uos-PC:~/Desktop$
统信操作系统UOS1060上通过Fail2Ban来Ban IP_linux_12

13、通过监控 Fail2Ban 日志发现10.211.55.13被ban

pdsyw@pdsyw-PC:~/Desktop$ sudo tail -f /var/log/fail2ban.log
2023-10-13 21:00:14,456 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:14
2023-10-13 21:00:19,071 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:18
2023-10-13 21:00:20,673 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:20
2023-10-13 21:00:20,687 fail2ban.actions [14138]: NOTICE [sshd] Ban 10.211.55.13
2023-10-13 21:00:24,346 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:24
2023-10-13 21:00:28,819 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:28
2023-10-13 21:00:31,528 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:31
2023-10-13 21:00:33,272 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:33
2023-10-13 21:00:34,062 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:34
2023-10-13 21:00:34,359 fail2ban.actions [14138]: NOTICE [sshd] 10.211.55.13 already banned
统信操作系统UOS1060上通过Fail2Ban来Ban IP_desktop_13

14、进一步检查 sshd 监狱的状态和被封锁的 IP 地址

pdsyw@pdsyw-PC:~/Desktop$ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 10
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 1
|- Total banned: 1
`- Banned IP list: 10.211.55.13
pdsyw@pdsyw-PC:~/Desktop$
统信操作系统UOS1060上通过Fail2Ban来Ban IP_uos_14

15、邮箱查收到ip被ban的邮件

统信操作系统UOS1060上通过Fail2Ban来Ban IP_Desktop_15

16、使用命令永久解封IP 地址

pdsyw@pdsyw-PC:~/Desktop$ sudo fail2ban-client set sshd unbanip 10.211.55.13
10.211.55.13
pdsyw@pdsyw-PC:~/Desktop$ 
pdsyw@pdsyw-PC:~/Desktop$ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 15
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 0
|- Total banned: 1
`- Banned IP list:
pdsyw@pdsyw-PC:~/Desktop$
统信操作系统UOS1060上通过Fail2Ban来Ban IP_Desktop_16

17、通过被解封的终端测试ssh,连接成功

uos@uos-PC:~/Desktop$ ssh [email protected]
[email protected]'s password: 
验证成功
Welcome to UnionTech OS Desktop 20 Professional
homepage:https://www.chinauos.com/
bugreport:https://bbs.chinauos.com/
pdsyw@pdsyw-PC:~$
统信操作系统UOS1060上通过Fail2Ban来Ban IP_linux_17

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK