Browsed by
Tag: fail2ban

手工解除fail2ban封锁的IP地址

手工解除fail2ban封锁的IP地址

首先检查fail2ban的log文件,看是哪一个jail的规则触发了封锁,比如apache的规则。然后可以使用fail2ban-client确认该规则的封锁状态:

root@minisipserver:~$ fail2ban-client status apache
Status for the jail: apache
|- filter
|  |- File list:        /var/log/apache2/error.log
|  |- Currently failed: 0
|  `- Total failed:     21
`- action
   |- Currently banned: 1
   |  `- IP list:       184.15.66.88
   `- Total banned:     3

例如,示例中apache的规则封锁了“184.15.66.88”。接着使用以下命令解除对该IP地址的封锁:

fail2ban-client set apache unbanip 184.15.66.88
Kubuntu15.04!一切都扁了!

Kubuntu15.04!一切都扁了!

刚才升级移动盘中安装的kubuntu到最新的15.04版本,过程耗时且不太顺利。运行起来后,最直观的感受是两个:

(1)一切都拍扁了。

(2)速度比以前慢一点。

在这个版本中,默认已经是KDE5以及Plasma5,完全扁平化。默认的窗体风格是“微风”。konsole默认字体是“oxygen mono”,显示中文时有些问题,修改回Ubuntu mono等原有字体会好一些。下图是升级完成后的截图:

升级Kubuntu到15.04后截图
升级Kubuntu到15.04后截图

升级过程基本顺利,但是在96%的时候卡在”配置fail2ban”。冒险掉电重启,居然能重新进入系统。删除fail2ban,再重新使用以下命令修复:

sudo dpkg --configure -a

升级方式很耗时间,前后花费了将近4个小时。与之对比,下载ubuntu15.04的iso然后重新在virtualBox中安装,耗时也仅仅1个小时。

简单使用了一段时间,编译测试了几个程序。总体上KDE5还比较稳定,比KDE4刚推出那会儿好太多了。个人感觉比以前的版本好看,我比较喜欢新的“微风”风格。大家有兴趣的话,值得试试。由此我对Debian的KDE5版本充满期待啊。

iptables常用命令

iptables常用命令

前段时间安装fail2ban后,陆续发现了一批IP地址在尝试暴力破解我们服务器的用户名和密码。无论这些IP地址是来自可怜的肉鸡,还是真实的弱智黑客,直接屏蔽掉这些地址更好,免得浪费计算资源。

由于fail2ban实际也是利用了iptables,因此花了点时间研究iptables,干脆直接使用iptables屏蔽那些已经暴露的IP地址。以下是一些常用的命令:

查看iptables已有的规则

sudo iptables -L -n --line-numbers

删除一个已有的规则

sudo iptables -D INPUT 8

其中,’8’是INPUT链里的序号。

屏蔽一个IP地址,例如116.10.191.185

sudo iptables -A INPUT -s 116.10.191.185 -j DROP

屏蔽一段IP地址,例如从116.10.191.0 ~ 116.10.191.255

sudo iptables -A INPUT -s 116.10.191.0/24 -j DROP

注意,‘24’是mask位,表示采用头三个字节(24位)进行mask。

我们可以将上述规则写入/etc/rc.local,系统启动时能自动屏蔽这些垃圾IP地址。

使用fail2ban防止恶意ssh登陆

使用fail2ban防止恶意ssh登陆

最近检查了一下系统的流量等情况,发现有人尝试以root身份登陆系统,简单粗暴地尝试各种密码,实在是很没品的事。对付这种无聊人无聊事最好的办法就是安装fail2ban,让他们醒悟吧。

fail2ban的原理简而言之就是:扫描log文件,发现有告警就记录。当告警超过一定的阀值,例如失败了6次,就调用iptables,将对应的IP地址屏蔽一段时间(缺省为600秒)。因此首先要确保iptables已经安装了,否则仅仅靠fail2ban是没有任何作用的。

在Ubuntu 10.04环境安装fail2ban是件轻松愉快的事,运行以下命令即可:

sudo apt-get install fail2ban

安装后,fail2ban默认会随系统启动而启动。

由于ssh默认最大尝试数为6,我们希望改成3, 因此需要修改/etc/fail2ban/jail.conf文件。找到ssh段落简单修改即可:

[ssh]
...
maxretry = 3

然后重启fail2ban使新配置生效:

sudo service fail2ban restart

可以检查/var/log/fail2ban.log文件了解各种过滤情况。