宝塔面板6.X安装fail2ban+ Firewalld防止CC攻击

CC（Challenge Collapsar）攻击者会利用一个或多个 IP （通过代理服务器或肉鸡）向您的网站频繁发起请求，直到服务器资源耗尽，甚至宕机崩溃。

fail2ban是由Python语言开发监控软件，通过监控系统日志的登录信息来调用iptables屏蔽相应登录IP，以阻止某个IP恶意访问。因为CentOS 7已经自带Firewalld，并且使用Firewalld作为网络防火墙更加简单方便，而且宝塔面板可以在文件管理中编辑jail.conf，无形中也降低了使用难度。今天我们就来谈谈巧用fail2ban+ Firewalld防止爆破与CC攻击。

一：安装fail2ban

宝塔面板默认的是Firewalld已经是在运行了，而且宝塔面板自带的安全设置也是基于Firewalld，所以和fail2ban搭配起来使用也是更简单。fail2ban对应日志文件，Debian/Ubuntu:/var/log/auth.log、CentOS/Redhat:/var/log/secure。命令如下：

apt-get install fail2ban

#CentOS内置源并未包含fail2ban，需要先安装epel源，宝塔面板默认安装好了epel源，可以不用安装这个。直接安装fail2ban即可。
yum -y install epel-release
#安装fail2ban
yum -y install fail2ban

fail2ban安装好之后，如下显示，如图：

这样就安装好了fail2ban。安装成功后fail2ban配置文件位于/etc/fail2ban，其中jail.conf为主配置文件，相关的匹配规则位于filter.d目录，其它目录/文件一般很少用到，如果需要详细了解可自行搜索。宝塔面板使用fail2ban相对来说会很方便，我们可以在文件管理中找到并且编辑，路径是：/etc/fail2ban，图示：

二：配置规则

安装完成后主要的配置文件在/etc/fail2ban目录下，简单介绍如下：

fail2ban.conf ：配置文件里面定义了fail2ban记录的日志等级、日志文件的位置以及socket。

jail.conf 里面定义了对那些服务进行监控，以及使用的一些策略。

jail.conf 里面开头是默认全局配置块[DEFAULT]，默认配置规则说明如下：（宝塔面板用户编辑jail.conf，我们从47行开始）！

[DEFAULT]
#忽略哪些IP，可以是具体IP、CIDR类型的地址，多个IP用空格或都好分开，这里相当于ip地址白名单，还需要注意把自己的IP加入白名单，动态IP的可以绑定一个白名单域名，这样防止防止自己不小心测试或者什么的，被BAN了，自己的服务器都连接不上
ignoreip = 127.0.0.1/8

#设置IP被锁住的时间，单位为秒
bantime  = 600

#检测时间，在此时间内超过规定的次数会激活fail2ban
findtime  = 600

#尝试的次数
maxretry = 3

#日志检测机器，有"gamin", "polling" and "auto"三种模式。
backend = polling

#发送报警邮件的地址
destemail = root@localhost #默认的动作执行行为，在action.d目录下有各种行为策略
banaction = iptables-multiport

#0.8.1版本后fail2ban默认用sendmail MTA
mta = sendmail

#默认使用tcp协议
protocol = tcp

#定义了各种行动的参数
#banaction参数在action.d目录下具体定义，name port protocol 也可以自己定义
#只禁止IP
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
#即禁止IP又发送email
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]
#禁止IP、发送email、报告有关日志			  
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]

#如果没有定义行为，则默认的行为为action，可选择action_,action_mw, action_mwl 等		
action = %(action_)s

默认配置文件含有此模块
#定义子模块名
[ssh]
#是否激活
enabled = true
#定义port，可以是数字端口号表示，也可以是字符串表示
port= ssh
#过滤规则，在filter.d目录下定义
filter	= sshd
#检测日志的路径
logpath  = /var/log/auth.log
#尝试的次数，覆盖了全局配置的
maxretry = 6
#banaction 在action.d目录下定义，此参数值会替换action中选用的默认行为中定义的banaction参数
banaction = iptables-allports
#注意 port protocol banaction 可以不用分开定义，直接使用action定义也可以，例如：
#action   = iptables[name=SSH, port=ssh, protocol=tcp]
#在子模块中定义的port protocol banaction 都会在action_ action_mw, action_mwl中替换成具体的设置值。

三：CC攻击示例和ssh爆破

Fail2ban服务的配置文件在/etc/fail2ban目录。在其中可以找到jail.conf配置文件，我不会直接编辑这个文件，因为在升级软件包时，会覆盖这个文件，使配置失效。我们应该创建一个新文件jail.local，在jail.local定义的值会覆盖jail.conf中的值。

3.1.我们来创建一个jail.local文件：

vi  /etc/fail2ban/jail.local

宝塔面板直接在文件管理中新建文件即可，文件名为jail.local 配置如下：

#默认配置
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 86400
findtime = 600
maxretry = 5
#这里banaction必须用firewallcmd-ipset,这是fiewalll支持的关键，如果是用Iptables请不要这样填写
banaction = firewallcmd-ipset
action = %(action_mwl)s

简单说明：

• ignoreip：IP白名单，白名单中的IP不会屏蔽，可填写多个以（,）或者空格 分隔
• bantime：屏蔽时间，单位为秒（s）
• findtime：时间范围
• maxretry：最大次数
• banaction：屏蔽IP所使用的方法，上面使用firewalld屏蔽端口

注意：fail2ban 在用的时候，把自己的IP加入白名单，动态IP的可以绑定一个白名单域名，这样防止防止自己不小心测试或者什么的，被BAN了，自己的服务器都连接不上（大鸟本地测试就这样连不上服务器了。）

3.2 防止SSH爆破

继续修改jail.local这个配置文件，在后面追加如下内容：

[sshd]
enabled = true
filter  = sshd
port    = 22
action = %(action_mwl)s
logpath = /var/log/secure

• [sshd]：名称，可以随便填写
• filter：规则名称，必须填写位于filter.d目录里面的规则，sshd是fail2ban内置规则
• port：对应的端口
• action：采取的行动
• logpath：需要监视的日志路径

到这一步，我们jail.local的规则看起来可能像下面这样子：

[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 86400
findtime = 600
maxretry = 5
banaction = firewallcmd-ipset
action = %(action_mwl)s

[sshd]
enabled = true
filter  = sshd
port    = 22
action = %(action_mwl)s
logpath = /var/log/secure

上面的配置意思是如果同一个IP，在10分钟内，如果连续输入5次错误，则使用Firewalld将他IP ban了。输入systemctl start fail2ban启动fail2ban来试试效果。当然了，你修改一个奇葩点的ssh端口，也不用这个规则了，这里只是为了大家能理解的深刻一点，故意多讲这么几句。

3.3 创建一个nginx-cc.conf

filter.d 目录里面定义的是根据日志文件进行过滤的规则，主要是利用正则匹配出现错误的关键字。所以我们新建的规则都是放在filter.d 目录。

vi /etc/fail2ban/filter.d/nginx-cc.conf

宝塔面板直接在这个路径下面新建文件，命名为nginx-cc.conf即可。

3.4 Fail2ban防CC攻击示例规则：

我们在新建好的nginx-cc.conf中填写如下内容：

#填写如下内容
[Definition]
failregex = <HOST> -.*- .*HTTP/1.* .* .*$
ignoreregex =

3.5 继续修改jail.local追加如下内容：

[nginx-cc]
enabled = true
port = http,https
filter = nginx-cc
action = %(action_mwl)s
maxretry = 20
findtime = 60
bantime = 3600
logpath = /www/wwwlogs/www.daniao..org.log;

上面的配置意思是如果在60s内，同一IP达到20次请求，则将其IP ban 1小时，记得修改你的网站日志路径。上面只是为了测试，请根据自己的实际情况修改。logpath为nginx日志路径。使用以下命令查看fail2ban状态，大鸟自己小测试了下，果然打不开网页了，说明IP被ban了，可以输入：fail2ban-client status sshd查看被ban的IP，如下截图。

都到了这一步，我们可以看看这份jail.local中总的规则如下：

[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 86400
findtime = 600
maxretry = 5
banaction = firewallcmd-ipset
action = %(action_mwl)s

[sshd]
enabled = true
filter  = sshd
port    = 22
action = %(action_mwl)s
logpath = /var/log/secure

[nginx-cc]
enabled = true
port = http,https
filter = nginx-cc
action = %(action_mwl)s
maxretry = 20
findtime = 60
bantime = 3600
logpath = /www/wwwlogs/www.daniao.org.log

sshd那个规则一般是不需要的，大鸟也是承接了上面的规则统一下来，希望了解。当然，每改动一次，别忘记输入systemctl restart fail2ban重启fail2ban使其生效。

3.6 常用命令

#查看当前版本
fail2ban-server -V
#启动fail2ban服务
systemctl start fail2ban
#停止
systemctl stop fail2ban
#开机启动
systemctl enable fail2ban
#查看被ban IP，其中sshd为名称
fail2ban-client status sshd
#删除被ban IP
fail2ban-client set sshd delignoreip 192.168.111.111
#查看日志
tail /var/log/fail2ban.log
#启动后验证fail2ban是否正常运行正常响应内容为Server replied: pong
fail2ban-client ping

五：总结

使用Fail2ban应用一般的CC攻击基本上没有什么问题，当然这也不是最好的选择，大鸟之前讲过：宝塔面板6.X开启隐藏的 waf 防火墙的方法。对于简单的cc防护也有效果，当然，我们还可以编译安装云锁来防止cc，启用Cloudflare防攻击模式：主要作用是访问任何页面的时候强制在 CF 的认证页面停留 5 秒，效果非常好用。对应文章大鸟也讲过了【CloudFlare使用方法-DNS解析,SSL证书,防DDoS(5秒盾)攻击和免费CDN加速】里面提到了5秒盾的用法。

当然，我们使用fail2ban + Firewalld来阻止恶意IP是行之有效的办法，可极大提高服务器安全。但是大鸟在安装宝塔面板的服务器上使用fail2ban并非易事，宝塔面板强行修改的东西太多了。到不如lnmp的纯环境来的流畅。

参考：

https://www.cnblogs.com/carbon3/p/5607704.html

https://www.xiaoz.me/archives/9831

https://blog.whsir.com/post-3063.html

https://my.oschina.net/guol/blog/52219