Я запускаю ряд веб-серверов и уже настроил довольно хороший набор правил брандмауэра, однако я ищу что-то для мониторинга трафика и добавления правил по мере необходимости. У меня есть denyhosts, отслеживающий плохие входы в SSH, и это здорово, но я бы хотел что-то, что я мог бы применить ко всей машине, что помогло бы предотвратить атаки bute force против моих веб-приложений, а также добавить правила для блокировки IP-адресов, которые показывают доказательства распространенных атак.
Я видел APF, но, похоже, он не обновлялся несколько лет. Он все еще используется и подойдет ли он для этого? Кроме того, какие еще есть решения, которые бы манипулировали iptables, чтобы он вел себя адаптивно?
Если это поможет, я использую Ubuntu Linux.
решение1
Я действительно большой поклонник fail2ban
http://www.fail2ban.org/wiki/index.php/Главная_страница
Вот список основных функций, доступных в Fail2ban.
Client/Server architecture.
Multi-threaded.
Highly configurable.
FAM/Gamin support.
Parses log files and looks for given patterns.
Executes commands when a pattern has been detected for the same IP address for more than X times. X can be changed.
After a given amount of time, executes another command in order to unban the IP address.
Uses Netfilter/Iptables by default but can also use TCP Wrapper (/etc/hosts.deny) and many other actions.
Handles log files rotation.
Can handle more than one service (sshd, apache, vsftpd, etc).
Resolves DNS hostname to IP address.
решение2
Узнать оipset
, от создателей iptables
.
Затем научитесь использовать -j SET
цель; желательно в сочетании с -m recent -m limit
и/или -m hashlimit
.
Удачи, юный джедай! :-)
(Поскольку вы используете Ubuntu, вамдолженустановите ipset из исходного кода; смотрите мой блог для HOWTO:http://pepoluan.posterous.com/powertip-howto-install-ipset-on-ubuntu)
решение3
решение4
Это немного излишне, но есть отличный проект OSSEC, он может отслеживать логи сервера и, если обнаружит что-то подозрительное (у него есть список правил, плюс вы можете написать свои собственные), он может заблокировать удаленный IP.
Его нельзя назвать демоном iptables, но он гораздо мощнее denyhost.