我最近安装了 fail2ban,以保护我们的一个 Web 服务器免受 SSH 攻击和 HTTP 攻击。目前我收到了很多 ssh 攻击,但 fail2ban 正在禁止这些攻击,然后又解禁。他们是否可以根据攻击级别永久禁止这些 IP?
另外,在 fail2ban 中,如何允许来自特定 IP 的 HTTP 请求,以便这些请求不会被禁止,因为我们的开发人员会在 /var/www/dev 文件夹下发出许多奇怪的请求,这些请求将显示文件不存在等。
欢迎大家提出建议
答案1
您可以将 IP/网络添加到 fail2ban 白名单中,以实现此目的(我的意思是第二部分)。编辑ignoreip您的jail.conf(可能是/etc/fail2ban)上的参数。
至于第一部分,我在 fail2ban wiki 上看到了提到的这种解决方法:
http://whyscream.net/wiki/index.php/Fail2ban_monitoring_Fail2ban
答案2
我认为您需要结合使用 fail2ban(用于临时禁止)和denyhosts(用于永久禁止)。
我建议对永久禁令要非常小心,这可能会产生意想不到的反作用(例如来自同一公共 IP 的有效请求和黑客尝试,因为真正的来源位于伪装的防火墙后面,例如大学网络)。在 fail2ban 中针对特定黑客尝试尝试使用 jail 设置,直到您取得良好的妥协,这可能是一个更好的主意。
答案3
我使用denyhosts
默认情况下,它不会解除禁令
您可以在 /etc/hosts.allow 中排除