
根據我的基本理解,iptables
我整理了以下旨在運行 Tor 中繼的設定......這是大約 6 小時後的結果。請注意,我不想討論任何 Tor 操作,因此我不會被指出https://tor.stackexchange.com/謝謝。
在連接埠22 上發生了一次大規模攻擊,我醒來時發現了這一點,所以我更改了它,密碼身份驗證已被禁用,但該人/機器人無論如何都試圖闖入,我有一個8192 位長的RSA 公共/私鑰,所以我希望這足夠了。
# iptables -L -v --line-numbers
輸出:
Chain INPUT (policy DROP 8242 packets, 735K bytes)
num pkts bytes target prot opt in out source destination
1 0 0 DROP tcp -- any any anywhere anywhere ctstate NEW tcp flags:!FIN,SYN,RST,ACK/SYN /* protection: non-syn packets */
2 10 452 DROP all -- any any anywhere anywhere ctstate INVALID /* protection: malformed packets */
3 20 1000 ACCEPT all -- lo any anywhere anywhere /* loopback: compulsory */
4 3 98 ACCEPT icmp -- any any anywhere anywhere icmp echo-request limit: avg 2/sec burst 5 /* ICMP: ping only */
5 16625 9388K ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED /* traffic */
6 7 420 ACCEPT tcp -- any any anywhere anywhere ctstate NEW,ESTABLISHED tcp dpt:xxyyzz /* SSH: global obfuscated */ <-- CENSORED
7 438 26080 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9001 /* Tor: OR */
8 558 30828 ACCEPT tcp -- any any anywhere anywhere tcp dpt:9030 /* Tor: Dir */
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 16969 packets, 6369K bytes)
num pkts bytes target prot opt in out source destination
我想部署fail2ban
,但我從未使用過它,所以我找到了幾個指南設定它,但我相信我們應該在這個網站上有一些例子,我確實找到了太多fail2ban
單獨的結果,但是沒有任何相關的fail2ban
初始設定
答案1
在 deb 上安裝 f2b 相當簡單。我之前在一個帖子裡寫過(https://dev.slickalpha.blog/2019/11/installing-lemp-stack-on-debian-buster.html#sv-fail2ban)。
首先你安裝f2b
apt install fail2ban -y
複製配置到本地
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
並對本地文件進行編輯
nano /etc/fail2ban/jail.local
更新預設值(連接埠 22 在 f2b 上預先啟用)
[DEFAULT]
...
# MISCELLANEOUS OPTIONS...
bantime = 86400
findtime = 86400
maxretry = 2`
重新啟動 f2b
/etc/init.d/fail2ban restart
檢查 sshd 22 的狀態
fail2ban-client status sshd
除此之外,使用帶有密碼的密鑰應該就足夠了。您始終可以微調 f2b。
更新:
Fail2ban 基本上使用正規表示式過濾器檢查 IP 日誌,並使用 iptables 區塊來匹配 IP。
列出已啟用的監獄(f2b 中服務的正規表示式過濾器)
fail2ban-client status
為了保護自訂連接埠或服務,
檢查該服務的正規表示式過濾器是否存在
ls /etc/fail2ban/filter.d
例如,如果它們存在,jail-name.conf
只需在 f2b 本機檔案上啟用它們
nano /etc/fail2ban/jail.local
文法下
[jail-name]
..options..
假設如果 sshd 未啟用,請加入enabled = true
sshd 監獄
[sshd]
enabled = true
....
根據您的日誌測試監獄並更新正規表示式(如果遺失)
fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
如果服務或連接埠不存在監獄,請在線檢查這些過濾器,並將這些過濾器新增至本機設定檔/etc/fail2ban/filter.d
並在本機設定檔上啟用它。