实战演练:Fail2Ban部署全攻略,确保您的服务器免受CVE-2024-6387侵害!

Fail2Ban是一个开源的入侵防护软件,它可以扫描日志文件,识别恶意行为(如多次失败的登录尝试),并自动采取措施(如更新防火墙规则)来阻止攻击者。最近,CVE-2024-6387漏洞的爆出使我们更加关注服务器安全问题,本文将详细介绍如何安装和配置Fail2Ban来保护您的服务器,特别是如何应对类似CVE-2024-6387这样的漏洞。

一、漏洞简介

CVE-2024-6387 是 OpenSSH 服务器中的一个严重漏洞,影响基于 glibc 的 Linux 系统。攻击者可以利用该漏洞在无需认证的情况下,通过竞态条件远程执行任意代码,获得系统控制权。这个漏洞源于处理超时信号时的不安全操作,最早在 OpenSSH 8.5p1 版本中引入。
受影响的版本:

OpenSSH 版本 8.5p1 到 9.8p1(不包括9.8p1)。

关于该漏洞的更加详细资料请阅读上一篇文章

二、安装Fail2Ban

Fail2Ban可以在大多数Linux发行版上安装,以下是安装步骤:

在Debian/Ubuntu上安装
bash 复制代码
sudo apt update
sudo apt install fail2ban
在CentOS/RHEL上安装
bash 复制代码
sudo yum update
sudo yum install epel-release
sudo yum install fail2ban

三、基本配置

Fail2Ban的配置文件位于 /etc/fail2ban 目录下,主要配置文件是 jail.confjail.local。我们建议不要直接修改 jail.conf,而是在 jail.local 中进行配置,以便于软件升级时保留自定义配置。

创建jail.local

首先,创建一个新的配置文件 jail.local

bash 复制代码
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
配置SSH防护

打开 jail.local 文件,找到 [sshd] 部分,并进行如下配置:

properties 复制代码
ignoreip = 127.0.0.1/8
enabled = true
filter = sshd
port = 22
maxretry = 5
findtime = 300
bantime = 600
banaction = ufw
action = %(action_mwl)s
logpath = /var/log/auth.log
  • enabled:设置为 true 以启用对SSH服务的监控。
  • port:设置为 ssh,或指定具体的端口号。
  • logpath:指定SSH日志文件路径。大多数系统上为 /var/log/auth.log。
  • maxretry:可以单独为SSH服务配置失败尝试次数
启动和管理Fail2ban

配置完成后,可以启动Fail2ban服务:

shell 复制代码
sudo systemctl start fail2ban
sudo systemctl enable fail2ban

通过如下命令查看服务启动状态

四、高级配置

为应对CVE-2024-6387漏洞,我们需要更严格的配置和规则。可以通过调整 bantime(封禁时间)、findtime(检测时间窗口)和 maxretry(最大尝试次数)来实现。

调整封禁策略

jail.local 中,添加或修改以下内容:

properties 复制代码
[DEFAULT]
bantime  = 1h
findtime = 10m
maxretry = 3

这样配置后,如果某个IP在10分钟内尝试登录失败超过3次,该IP将被封禁1小时。

六、重启Fail2Ban

完成配置后,重启Fail2Ban以使配置生效:

bash 复制代码
sudo systemctl restart fail2ban

七、监控和日志查看

Fail2Ban运行时会生成日志,默认日志文件位于 /var/log/fail2ban.log。您可以通过查看此日志文件来监控Fail2Ban的运行状态和封禁情况。

bash 复制代码
tail -f /var/log/fail2ban.log

八、总结

Fail2Ban是一款强大的工具,可以显著提高服务器的安全性。通过合理配置,您可以有效防范包括CVE-2024-6387在内的各种攻击。定期更新和监控Fail2Ban的日志,是确保服务器安全运行的关键。

相关推荐
追风赶月、36 分钟前
【Linux】线程概念与线程控制
linux·运维·服务器
CP-DD1 小时前
Docker 容器化开发 应用
运维·docker·容器
努力的悟空2 小时前
国土变更调查拓扑错误自动化修复工具的研究
运维·自动化
旦沐已成舟3 小时前
DevOps-Jenkins-新手入门级
服务器
周末不下雨3 小时前
win11+ubuntu22.04双系统 | 联想 24 y7000p | ubuntu 22.04 | 把ubuntu系统装到1T的移动固态硬盘上!!!
linux·运维·ubuntu
软件技术员4 小时前
Let‘s Encrypt SSL证书:acmessl.cn申请免费3个月证书
服务器·网络协议·ssl
耗同学一米八4 小时前
2024 年河北省职业院校技能大赛网络建设与运维赛项样题四
运维·网络
一条晒干的咸魚5 小时前
【Web前端】创建我的第一个 Web 表单
服务器·前端·javascript·json·对象·表单
东华果汁哥5 小时前
【linux 免密登录】快速设置kafka01、kafka02、kafka03 三台机器免密登录
linux·运维·服务器
肖永威5 小时前
CentOS环境上离线安装python3及相关包
linux·运维·机器学习·centos