Fail2Ban 高级配置 保护 Nginx 服务

购买了VPS之后你应该做足的安全措施中我们提到过用 fail2ban 来保护 ssh ,这样即使不改变ssh端口(默认为22),也可以做到避免被暴力破解密码,当然,我们已经开启了证书登录并关闭了 ssh 的密码登录选项,但用 fail2ban 干掉那些不停尝试的 bot 也是一件令人心情愉悦的事情。

其实,除了 使用 fail2ban 防止 Bind9 被用于 DNS 放大攻击外,我们也可以用 fail2ban 来保护 nginx ,毕竟它的原理就是用正则匹配日志文件,然后操作 iptables,所以理论上一切能写日志的应用都可以用 fail2ban 来生成规则并加以保护。

这次我们就一起来看看,除了默认配置外,我们还能怎样用 fail2ban 来保护 nginx

首先是

配置监狱

也就是 fail2ban 的监控模块,其实默认配置中就已经写好了很多配置,当然我们需要手动来启动它们。

fail2ban 会自动读取  .local 文件的配置,然后再增量地读取 conf 配置,这样就避免了更新它时你辛辛苦苦写好的配置被覆盖掉了。

然后我们就来编辑 fail2ban 的配置  vi /etc/fail2ban/jail.local

首先是在 [DEFAULT] 字段下,我们可以改变一些行为参数,比如这样修改(多余的没有提到的配置就保留默认,不要理会即可):

接下来就是添加我们的监狱配置了,默认配置信息中并没有内置 nginx ,只有 apache:

 

注意这里的配置都是基于 nginx 的日志的,所以你必须要允许 nginx 记录日志,有些管理员为了性能考量会关闭日志,这样我们这篇文章也就失去了意义。

另,在配置 fail2ban 之前,你就应该先安装好 nginx,否则 fail2ban 读不到 nginx 的日志,会报错。

为监狱配置规则

设置好了要启用的监狱,接下来就是给监狱创建规则了:

在这个目录下,存放这所有规则文件,一个配置名一个文件,有多少个文件就有多少个规则,这些规则被上文中监狱配置里 filter 字段调用。

这个规则是存在的,我们在规则中加一行配置,来过滤除了账号密码错误外,空白账号或者密码的错误:

添加的是高亮的那一行。

过滤爬虫的规则是有现成的,所以我们只需要改个名就可以了;

这是过滤获取目录的:

这是过滤反代的:

确认生效

做完上述配置之后,就可以重启 fail2ban 了  service fail2ban restart

这时你可以通过命令  fail2ban-client status 来查看,不出意外,应该类似这样:

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注