原文链接:统信UOS 1060上通过Fail2Ban来Ban IP
hello,大家好啊,今天给大家带来一篇在统信UOS 1060上安装Fail2Ban并且当ip被ban后通过邮件发送通知的文章。Fail2Ban 是一个用于防止暴力attack的开源软件。它可以扫描日志文件(例如,SSH或Web服务器日志文件)以查找IP地址,这些IP地址在定义的时间段内显示了太多的失败登录尝试,并在防火墙规则中封锁它们(通常使用iptables)。Fail2Ban通常用于防止各种类型的暴力attack,例如SSH暴力attack、邮件服务器attack等。
1、查看系统版本信息
pdsyw@pdsyw-PC:~/Desktop$ uname -a
Linux pdsyw-PC 4.19.0-arm64-desktop #6030 SMP Tue Jun 27 15:28:10 CST 2023 aarch64 GNU/Linux
pdsyw@pdsyw-PC:~/Desktop$
pdsyw@pdsyw-PC:~/Desktop$
pdsyw@pdsyw-PC:~/Desktop$ cat /etc/os-version
[Version]
SystemName=UOS Desktop
SystemName[zh_CN]=统信桌面操作系统
ProductType=Desktop
ProductType[zh_CN]=桌面
EditionName=Professional
EditionName[zh_CN]=专业版
MajorVersion=20
MinorVersion=1060
OsBuild=11014.100.100
pdsyw@pdsyw-PC:~/Desktop$
2、配置fail2ban----安装fail2ban软件
pdsyw@pdsyw-PC:~/Desktop$ sudo apt update
请输入密码:
验证成功
命中:1 https://cdn-professional-security.chinauos.com eagle/1060 InRelease
命中:2 https://pro-driver-packages.uniontech.com eagle InRelease
命中:3 https://professional-packages.chinauos.com/desktop-professional eagle InRelease
命中:4 https://professional-packages.chinauos.com/printer eagle InRelease
命中:5 https://app-store-files.uniontech.com/231013140032791/appstore eagle-pro InRelease
正在读取软件包列表... 完成
正在分析软件包的依赖关系树
正在读取状态信息... 完成
有 156 个软件包可以升级。请执行 ‘apt list --upgradable’ 来查看它们。
pdsyw@pdsyw-PC:~/Desktop$ sudo apt install fail2ban -y
正在读取软件包列表... 完成
正在分析软件包的依赖关系树
正在读取状态信息... 完成
下列软件包是自动安装的并且现在不需要了:
libutempter0 squashfs-tools x11-apps x11-session-utils xbitmaps xinit
使用'sudo apt autoremove'来卸载它(它们)。
将会同时安装下列软件:
python3-pyinotify python3-systemd whois
建议安装:
mailx monit python-pyinotify-doc
下列【新】软件包将被安装:
fail2ban python3-pyinotify python3-systemd whois
升级了 0 个软件包,新安装了 4 个软件包,要卸载 0 个软件包,有 156 个软件包未被升级。
需要下载 522 kB 的归档。
解压缩后会消耗 2,550 kB 的额外空间。
获取:1 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 fail2ban all 0.10.2-2.1 [385 kB]
获取:2 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 python3-pyinotify all 0.9.6-1 [26.9 kB]
获取:3 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 python3-systemd arm64 234-2+b1 [34.9 kB]
获取:4 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 whois arm64 5.4.3 [75.6 kB]
已下载 522 kB,耗时 1秒 (351 kB/s)
正在选中未选择的软件包 fail2ban。
(正在读取数据库 ... 系统当前共安装有 198268 个文件和目录。)
准备解压 .../fail2ban_0.10.2-2.1_all.deb ...
正在解压 fail2ban (0.10.2-2.1) ...
/var/cache/apt/archives/fail2ban_0.10.2-2.1_all.deb
正在选中未选择的软件包 python3-pyinotify。
准备解压 .../python3-pyinotify_0.9.6-1_all.deb ...
正在解压 python3-pyinotify (0.9.6-1) ...
/var/cache/apt/archives/python3-pyinotify_0.9.6-1_all.deb
正在选中未选择的软件包 python3-systemd。
准备解压 .../python3-systemd_234-2+b1_arm64.deb ...
正在解压 python3-systemd (234-2+b1) ...
/var/cache/apt/archives/python3-systemd_234-2+b1_arm64.deb
正在选中未选择的软件包 whois。
准备解压 .../archives/whois_5.4.3_arm64.deb ...
正在解压 whois (5.4.3) ...
/var/cache/apt/archives/whois_5.4.3_arm64.deb
正在设置 whois (5.4.3) ...
正在设置 fail2ban (0.10.2-2.1) ...
Created symlink /etc/systemd/system/multi-user.target.wants/fail2ban.service → /lib/systemd/system/fail2ban.service.
[fail2ban-tmpfiles.conf:1] Line references path below legacy directory /var/run/, updating /var/run/fail2ban → /run/fail2ban; please update the tmpfiles.d/ drop-in file accordingly.
正在设置 python3-pyinotify (0.9.6-1) ...
正在设置 python3-systemd (234-2+b1) ...
正在处理用于 man-db (2.8.5-2) 的触发器 ...
正在处理用于 systemd (241.52-deepin1) 的触发器 ...
pdsyw@pdsyw-PC:~/Desktop$
3、配置fail2ban----启动fail2ban软件
pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl start fail2ban
pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl enable fail2ban
Synchronizing state of fail2ban.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable fail2ban
pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl status fail2ban
● fail2ban.service - Fail2Ban Service
Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)
Active: active (running) since Fri 2023-10-13 20:27:45 CST; 5s ago
Docs: man:fail2ban(1)
Main PID: 6528 (fail2ban-server)
Tasks: 3 (limit: 4915)
Memory: 11.1M
CGroup: /system.slice/fail2ban.service
└─6528 /usr/bin/python3 /usr/bin/fail2ban-server -xf start
10月 13 20:27:45 pdsyw-PC systemd[1]: Starting Fail2Ban Service...
10月 13 20:27:45 pdsyw-PC systemd[1]: Started Fail2Ban Service.
10月 13 20:27:45 pdsyw-PC fail2ban-server[6528]: Server ready
10月 13 20:27:45 pdsyw-PC systemd[1]: /lib/systemd/system/fail2ban.service:12: PIDFile= references path below
10月 13 20:27:45 pdsyw-PC systemd[1]: /lib/systemd/system/fail2ban.service:12: PIDFile= references path below
10月 13 20:27:45 pdsyw-PC systemd[1]: /lib/systemd/system/fail2ban.service:12: PIDFile= references path below
pdsyw@pdsyw-PC:~/Desktop$
4、配置fail2ban----编辑/etc/fail2ban/jail.local文件
[sshd]: 这是一个节(section),它定义了一个名为sshd的监狱(jail)。监狱是Fail2Ban中的一个概念,用于定义一组规则,以确定何时应该封禁IP地址。
enabled = true: 这表示sshd监狱已启用。
port = ssh: 这指定了Fail2Ban应该监视的端口,这里是SSH的默认端口。
action = msmtp-whois-lines[name=SSHD, dest=1111@163.com, sender=1111@qq.com]: 这定义了当IP被封禁时要执行的动作。这里,msmtp-whois-lines动作被配置为发送包含封禁IP的whois信息的电子邮件。邮件的主题名为SSHD,收件人地址为1111@163.com,发件人地址为1111@qq.com。
logpath = %(sshd_log)s: 这指定了Fail2Ban应该监视的日志文件的路径。%(sshd_log)s是一个预定义的变量,通常指向SSH守护进程的日志文件。
maxretry = 5: 这定义了在Fail2Ban触发封禁之前允许的失败尝试次数。
bantime = 600: 这定义了封禁的持续时间(以秒为单位)。这里,600秒等于10分钟。
pdsyw@pdsyw-PC:~/Desktop$ sudo vi /etc/fail2ban/jail.local
pdsyw@pdsyw-PC:~/Desktop$ cat /etc/fail2ban/jail.local
[sshd]
enabled = true
port = ssh
action = msmtp-whois-lines[name=SSHD, dest=1111@163.com, sender=1111@qq.com]
logpath = %(sshd_log)s
maxretry = 5
bantime = 600
pdsyw@pdsyw-PC:~/Desktop$
5、配置邮件通知----安装msmtp msmtp-mta软件
pdsyw@pdsyw-PC:~/Desktop$ sudo apt-get install msmtp msmtp-mta
正在读取软件包列表... 完成
正在分析软件包的依赖关系树
正在读取状态信息... 完成
下列软件包是自动安装的并且现在不需要了:
libutempter0 squashfs-tools x11-apps x11-session-utils xbitmaps xinit
使用'sudo apt autoremove'来卸载它(它们)。
将会同时安装下列软件:
libgsasl7 libntlm0
下列【新】软件包将被安装:
libgsasl7 libntlm0 msmtp msmtp-mta
升级了 0 个软件包,新安装了 4 个软件包,要卸载 0 个软件包,有 156 个软件包未被升级。
需要下载 373 kB 的归档。
解压缩后会消耗 1,179 kB 的额外空间。
您希望继续执行吗? [Y/n] y
获取:1 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 libntlm0 arm64 1.5-1+deb10u1+rebuild [23.6 kB]
获取:2 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 libgsasl7 arm64 1.8.0-8+b2 [198 kB]
获取:3 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 msmtp arm64 1.8.3-1 [133 kB]
获取:4 https://professional-packages.chinauos.com/desktop-professional eagle/main arm64 msmtp-mta arm64 1.8.3-1 [18.8 kB]
已下载 373 kB,耗时 1秒 (403 kB/s)
正在预设定软件包 ...
正在选中未选择的软件包 libntlm0:arm64。
(正在读取数据库 ... 系统当前共安装有 198747 个文件和目录。)
准备解压 .../libntlm0_1.5-1+deb10u1+rebuild_arm64.deb ...
正在解压 libntlm0:arm64 (1.5-1+deb10u1+rebuild) ...
/var/cache/apt/archives/libntlm0_1.5-1+deb10u1+rebuild_arm64.deb
正在选中未选择的软件包 libgsasl7。
准备解压 .../libgsasl7_1.8.0-8+b2_arm64.deb ...
正在解压 libgsasl7 (1.8.0-8+b2) ...
/var/cache/apt/archives/libgsasl7_1.8.0-8+b2_arm64.deb
正在选中未选择的软件包 msmtp。
准备解压 .../msmtp_1.8.3-1_arm64.deb ...
正在解压 msmtp (1.8.3-1) ...
/var/cache/apt/archives/msmtp_1.8.3-1_arm64.deb
正在选中未选择的软件包 msmtp-mta。
准备解压 .../msmtp-mta_1.8.3-1_arm64.deb ...
正在解压 msmtp-mta (1.8.3-1) ...
/var/cache/apt/archives/msmtp-mta_1.8.3-1_arm64.deb
正在设置 libntlm0:arm64 (1.5-1+deb10u1+rebuild) ...
正在设置 libgsasl7 (1.8.0-8+b2) ...
正在设置 msmtp (1.8.3-1) ...
正在设置 msmtp-mta (1.8.3-1) ...
msmtpd.service is a disabled or a static unit, not starting it.
正在处理用于 man-db (2.8.5-2) 的触发器 ...
正在处理用于 libc-bin (2.28.23-deepin1) 的触发器 ...
pdsyw@pdsyw-PC:~/Desktop$
6、配置邮件通知----编辑/etc/msmtprc文件
defaults: 这一行开始定义默认设置区块。
auth on: 启用SMTP认证。
tls on: 启用TLS/SSL加密。
tls_trust_file /etc/ssl/certs/ca-certificates.crt: 指定CA证书的位置,用于验证远程服务器的证书。
logfile /var/log/msmtp.log: 指定msmtp的日志文件位置。
account qqmail: 定义一个名为qqmail的账户设置区块。
host smtp.qq.com: 设置SMTP服务器的地址。
port 587: 设置SMTP服务器的端口。
from 1111@qq.com: 设置发件人地址。
auth login: 设置SMTP认证类型。
user 1111@qq.com: 设置SMTP用户名。
password [YourAppPassword]: 设置SMTP密码。这里的[YourAppPassword]应该被替换为实际的应用密码。
account default : qqmail: 设置qqmail账户为默认账户。
pdsyw@pdsyw-PC:~/Desktop$ sudo vi /etc/msmtprc
pdsyw@pdsyw-PC:~/Desktop$ sudo cat /etc/msmtprc
defaults
auth on
tls on
tls_trust_file /etc/ssl/certs/ca-certificates.crt
logfile /var/log/msmtp.log
account qqmail
host smtp.qq.com
port 587
from 1111@qq.com
auth login
user 1111@qq.com
password [YourAppPassword]
account default : qqmail
pdsyw@pdsyw-PC:~/Desktop$
7、配置邮件通知----确保日志可由msmtp写入
pdsyw@pdsyw-PC:~/Desktop$ sudo touch /var/log/msmtp.log
pdsyw@pdsyw-PC:~/Desktop$ sudo chown pdsyw:mail /var/log/msmtp.log
pdsyw@pdsyw-PC:~/Desktop$ sudo chmod 660 /var/log/msmtp.log
pdsyw@pdsyw-PC:~/Desktop$
8、配置fail2ban----使用 msmtp
pdsyw@pdsyw-PC:~/Desktop$ sudo vi /etc/fail2ban/action.d/msmtp-whois-lines.conf
pdsyw@pdsyw-PC:~/Desktop$ cat /etc/fail2ban/action.d/msmtp-whois-lines.conf
[INCLUDES]
before = sendmail-common.conf
helpers-common.conf
[Definition]
actionban = ( printf %%b "Subject: [Fail2Ban] <name>: banned <ip> from <fq-hostname>
Date: `LC_ALL=C date +"%%a, %%d %%h %%Y %%T %%z"`
From: <sendername> <<sender>>
To: <dest>\n
Hi,\n
The IP <ip> has just been banned by Fail2Ban after
<failures> attempts against <name>.\n\n
Here is more information about <ip> :\n
`/usr/bin/whois <ip> || echo missing whois program`\n\n
Lines containing failures of <ip>\n";
%(_grep_logs)s;
printf %%b "\n
Regards,\n
Fail2Ban" ) | msmtp -t
[Init]
name = default
logpath = /dev/null
pdsyw@pdsyw-PC:~/Desktop$
9、启动和测试 Fail2Ban
pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl start fail2ban
pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl enable fail2ban
Synchronizing state of fail2ban.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable fail2ban
pdsyw@pdsyw-PC:~/Desktop$ fail2ban-client -t
OK: configuration test is successful
pdsyw@pdsyw-PC:~/Desktop$
10、监控 Fail2Ban 日志以确保 IP 地址被正确地封禁和解封
pdsyw@pdsyw-PC:~/Desktop$ sudo tail -f /var/log/fail2ban.log
2023-10-13 20:27:45,337 fail2ban.jail [6528]: INFO Jail 'sshd' uses pyinotify {}
2023-10-13 20:27:45,339 fail2ban.jail [6528]: INFO Initiated 'pyinotify' backend
2023-10-13 20:27:45,340 fail2ban.filter [6528]: INFO maxLines: 1
2023-10-13 20:27:45,348 fail2ban.server [6528]: INFO Jail sshd is not a JournalFilter instance
2023-10-13 20:27:45,349 fail2ban.filter [6528]: INFO Added logfile: '/var/log/auth.log' (pos = 25779, hash = d7fb092461318336103edd3a46d20259fe580f33)
2023-10-13 20:27:45,350 fail2ban.filter [6528]: INFO encoding: UTF-8
2023-10-13 20:27:45,350 fail2ban.filter [6528]: INFO maxRetry: 5
2023-10-13 20:27:45,350 fail2ban.filter [6528]: INFO findtime: 600
2023-10-13 20:27:45,350 fail2ban.actions [6528]: INFO banTime: 600
2023-10-13 20:27:45,351 fail2ban.jail [6528]: INFO Jail 'sshd' started
11、启动ssh服务
pdsyw@pdsyw-PC:~/Desktop$ sudo systemctl enable ssh --now
Synchronizing state of ssh.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable ssh
pdsyw@pdsyw-PC:~/Desktop$
12、通过另一个终端ssh连接测试,5次输错密码后无法连接
uos@uos-PC:~/Desktop$ ssh pdsyw@10.211.55.48
pdsyw@10.211.55.48's password:
Permission denied, please try again.
pdsyw@10.211.55.48's password:
Permission denied, please try again.
pdsyw@10.211.55.48's password:
pdsyw@10.211.55.48: Permission denied (publickey,password).
uos@uos-PC:~/Desktop$ ssh pdsyw@10.211.55.48
pdsyw@10.211.55.48's password:
Permission denied, please try again.
pdsyw@10.211.55.48's password:
Permission denied, please try again.
pdsyw@10.211.55.48's password:
pdsyw@10.211.55.48: Permission denied (publickey).
uos@uos-PC:~/Desktop$ ssh pdsyw@10.211.55.48
pdsyw@10.211.55.48's password:
pdsyw@10.211.55.48: Permission denied (publickey).
uos@uos-PC:~/Desktop$
13、通过监控 Fail2Ban 日志发现10.211.55.13被ban
pdsyw@pdsyw-PC:~/Desktop$ sudo tail -f /var/log/fail2ban.log
2023-10-13 21:00:14,456 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:14
2023-10-13 21:00:19,071 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:18
2023-10-13 21:00:20,673 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:20
2023-10-13 21:00:20,687 fail2ban.actions [14138]: NOTICE [sshd] Ban 10.211.55.13
2023-10-13 21:00:24,346 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:24
2023-10-13 21:00:28,819 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:28
2023-10-13 21:00:31,528 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:31
2023-10-13 21:00:33,272 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:33
2023-10-13 21:00:34,062 fail2ban.filter [14138]: INFO [sshd] Found 10.211.55.13 - 2023-10-13 21:00:34
2023-10-13 21:00:34,359 fail2ban.actions [14138]: NOTICE [sshd] 10.211.55.13 already banned
14、进一步检查 sshd 监狱的状态和被封锁的 IP 地址
pdsyw@pdsyw-PC:~/Desktop$ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 10
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 1
|- Total banned: 1
`- Banned IP list: 10.211.55.13
pdsyw@pdsyw-PC:~/Desktop$
15、邮箱查收到ip被ban的邮件
16、使用命令永久解封IP 地址
pdsyw@pdsyw-PC:~/Desktop$ sudo fail2ban-client set sshd unbanip 10.211.55.13
10.211.55.13
pdsyw@pdsyw-PC:~/Desktop$
pdsyw@pdsyw-PC:~/Desktop$ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 15
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 0
|- Total banned: 1
`- Banned IP list:
pdsyw@pdsyw-PC:~/Desktop$
17、通过被解封的终端测试ssh,连接成功
uos@uos-PC:~/Desktop$ ssh pdsyw@10.211.55.48
pdsyw@10.211.55.48's password:
验证成功
Welcome to UnionTech OS Desktop 20 Professional
homepage:https://www.chinauos.com/
bugreport:https://bbs.chinauos.com/
pdsyw@pdsyw-PC:~$