雷火电竞官网-中国知名电竞赛事平台

　　fail2ban是一款強大的系統日志分析監控軟件，它適用于安裝在服務器上，可以監視你的系統日志，然后匹配日志的錯誤信息（正則式匹配）執行相應的屏蔽動作。

【功能特色】

　　1、支持大量服務。如sshd,apache,qmail,proftpd,sasl等等

　　2、支持多種動作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(郵件通知)等等。

　　3、在logpath選項中支持通配符

　　4、需要Gamin支持(注：Gamin是用于監視文件和目錄是否更改的服務工具)

　　5、需要安裝python,iptables,tcp-wrapper,shorewall,Gamin。如果想要發郵件，那必需安裝postfix/sendmail

【操作方法】

　　/下載rpmforge (里面有大量最新的rpm包)

　　# wget URL< 此URL請用擴展閱讀中的地址替換>

　　//安裝rpmforge

　　# rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm

　　//用yum安裝fail2ban

　　# yum install fail2ban

　　安裝完成后，fail2ban 的設定檔在這里

　　# /etc/fail2ban

　　fail2ban.conf 日志設定文檔

　　jail.conf 阻擋設定文檔

　　/etc/fail2ban/filter.d 具體阻擋內容設定目錄

　　默認fail2ban.conf里面就三個參數，而且都有注釋。

　　-------------------------------

　　#默認日志的級別

　　loglevel = 3

　　#日志的目的

　　logt*arget = /var/log/fail2ban.log

　　#socket的位置

　　socket = /tmp/fail2ban.sock

　　-------------------------------

　　jail.conf配置里是fail2ban所保護的具體服務的配置，這里以SSH來講。

　　在jail.conf里有一個[DEFAULT]段，在這個段下的參數是全局參數，可以被其它段所覆蓋。

　　-------------------------------

　　#忽略IP,在這個清單里的IP不會被屏蔽

　　ignoreip = 127.0.0.1 172.13.14.15

　　#屏蔽時間

　　bantime = 600

　　#發現時間，在此期間內重試超過規定次數，會激活fail2ban

　　findtime = 600

　　#嘗試次數

　　maxretry = 3

　　#日志修改檢測機制

　　backend = auto

　　[ssh-iptables]

　　#激活

　　enabled = true

　　#filter的名字，在filter.d目錄下

　　filter = sshd

　　#所采用的工作，按照名字可在action.d目錄下找到

　　action = iptables[name=SSH, port=ssh, protocol=tcp]

　　mail-whois[name=SSH, dest=root]

　　#目的分析日志

　　logpath = /var/log/secure

　　#覆蓋全局重試次數

　　maxretry = 5

　　#覆蓋全局屏蔽時間

　　bantime = 3600

　　-------------------------------

　　對jail.conf進行一定的設置后，就可以使用fail2ban了。

　　//啟動fail2ban

　　# service fail2ban start

　　啟動之后，只要符合filter所定義的正則式規則的日志項出現，就會執行相應的action。

標簽： 系統日志 系統防御 日志監控