나는 일련의 웹 서버를 운영하고 있으며 이미 꽤 좋은 방화벽 규칙 세트를 설정해 두었지만 트래픽을 모니터링하고 필요에 따라 규칙을 추가할 수 있는 방법을 찾고 있습니다. 잘못된 SSH 로그인을 모니터링하는 거부 호스트가 있는데 훌륭합니다. 하지만 웹 애플리케이션에 대한 강제 공격을 방지하고 다음 증거를 표시하는 IP를 차단하는 규칙을 추가하는 데 도움이 되는 전체 시스템에 적용할 수 있는 기능을 추가하고 싶습니다. 일반적인 공격.
APF를 본 적이 있는데 몇 년 동안 업데이트가 되지 않은 것 같습니다. 아직도 사용 중인데 이 용도로 괜찮을까요? 또한 적응형 방식으로 작동하도록 iptables를 조작하는 다른 솔루션이 있습니까?
도움이 된다면 Ubuntu Linux를 실행하고 있습니다.
답변1
저는 Fail2ban의 열렬한 팬입니다.
http://www.fail2ban.org/wiki/index.php/Main_Page
Fail2ban에서 사용할 수 있는 주요 기능 목록은 다음과 같습니다.
Client/Server architecture.
Multi-threaded.
Highly configurable.
FAM/Gamin support.
Parses log files and looks for given patterns.
Executes commands when a pattern has been detected for the same IP address for more than X times. X can be changed.
After a given amount of time, executes another command in order to unban the IP address.
Uses Netfilter/Iptables by default but can also use TCP Wrapper (/etc/hosts.deny) and many other actions.
Handles log files rotation.
Can handle more than one service (sshd, apache, vsftpd, etc).
Resolves DNS hostname to IP address.
답변2
에 대한 학습ipset, 제작자로부터 iptables.
그런 다음 타겟 사용 방법을 알아보세요 -j SET. 바람직하게 -m recent -m limit는 및/또는 와 조합된다 -m hashlimit.
행운을 빌어요, 어린 제다이! :-)
(Ubuntu를 사용하고 계시기 때문에~ 해야 하다소스에서 ipset을 설치하십시오. HOWTO는 내 블로그를 참조하세요.http://pepoluan.posterous.com/powertip-howto-install-ipset-on-ubuntu)
답변3
답변4
약간 과잉이지만 OSSEC라는 훌륭한 프로젝트가 있습니다. 서버 로그를 모니터링할 수 있으며 수상한 내용이 발견되면(규칙 목록이 있고 직접 작성할 수 있음) 원격 IP를 차단할 수 있습니다.
iptables 데몬이라고 부를 수는 없지만, 거부 호스트보다 훨씬 강력합니다.