假設我有一個 .txt 文件,其中包含我想禁止一段時間的 IP 位址清單(因此,是某種黑名單文件)。我知道如何在 Apache 中執行此操作(例如) - 只需將 .txt 檔案包含到 apache.conf 中,然後正常重新啟動即可。
我想知道使用fail2ban是否可以實現同樣的效果,其中我以某種方式讓fail2ban定期「讀入」我想要禁止的IP位址列表,利用fail2ban機制與iptables進行通訊?
答案1
Fail2ban 用於管理要禁止的地址列表自動地。
一切都基於這樣的假設:如果有多個連續的“錯誤”相同的遠端位址,這些「錯誤」並非偶然,該位址是惡意的,並且正在嘗試做一些令人討厭的事情(例如暴力破解密碼、掃描漏洞等)。錯誤被用引號引起來,因為它取決於定義 - 考慮什麼“錯誤”是由過濾器在fail2ban中。它期望一個應用程序紀錄某物即時(幾乎)當它發現通訊中存在問題,並且該日誌訊息包含與之通訊的遠端位址時。
這種檢測本身並不是沒有錯誤的。合法使用者可能會記錯密碼,並在登入時嘗試多次猜測;這些嘗試在日誌中的顯示方式與真正的暴力破解沒有什麼不同。如果他們太堅持和匆忙,他們就會被禁止,這實際上是誤報。
遠端 IP 通常也只是受感染的計算機,一段時間後它們會出現在另一個 IP 下;他們之前佔用的 IP 可能會被其他無辜的參與者佔用,而該系統會發現自己被錯誤地禁止。受感染和脆弱的系統有時也會被治癒和修復,因此它們不再危險。
為了解決所有這些問題,fail2ban 施加的禁令是不是永久的,一段時間後會自動解除禁令。
當你擁有一個時,一切都會不同先驗要禁止的地址清單。首先,通常這些地址不是地址,而是網路區塊(一組相鄰位址)。其次,該清單的條目是已知不會過期;我們假設操作這些網路區塊的實體是惡意的。最後,最重要的是:fail2ban 不擅長管理大型禁令列表。它之所以好用是因為它是自動的;不要嘗試將它與數千個地址一起使用。僅使用資料庫中的數千個位址啟動/停止它就會導致大量的處理時間(數十分鐘)。
當您有地址清單時,請直接使用防火牆。不要嘗試使用fail2ban 來管理它。相反,如果您發現某些位址(或緊密的位址集,例如小型子網路)經常被自動禁止和取消禁止,那麼對這些位址進行調查可能會很有利,並且可能會手動禁止它們,以便fail2ban不再處理它們。