⑴目录filter.d下的文件定义匹配日志的正则表达式。
⑵failban.conf文件是配置failban-server程序启动的一些参数
⑶jail.conf文件包含filter及action的指定。
⑷每个conf文件可被local文件覆盖,conf文件第一个被读取,接着是读取local文件,所以local文件中定义的参数会覆盖conf中的参数。所以我们不需要添加所有的内容到local文件,只需要添加conf文件中你想覆盖的部分参数就好。
⑸防ssh及vsftpd暴力破解实例
⑹建立/etc/failban/jail.local文件,在文件中加入:
⑺[vsftpd-iptables]
⑻enabled = true
⑼filter = vsftpd
⑽action = iptables[name=VSFTPD, port=ftp, protocol=tcp]
⑾sendmail-whois[name=VSFTPD, dest=]
⑿logpath = /var/log/secure
⒀maxretry =
⒁[ssh-iptables]
⒂enabled = true
⒃filter = sshd
⒄action = iptables[name=SSH, port=ssh, protocol=tcp]
⒅sendmail-whois[name=SSH, dest=, sender=]
⒆logpath = /var/log/secure.log
⒇maxretry =
⒈enabled:可选值false,true
⒉filter:指定/etc/failban/filter.d/目录下的正则文件,如filter = sshd则是指定/etc/failban/filter.d/sshd.conf。
⒊action:指定执行的动作,具体动作文件在/etc/failban/action.d目录下。
⒋logpath:指定监控日志的路径。
⒌maxretry:执行action匹配的次数。
⒍service iptables start
⒎service failban start
⒏可以 用failban 分析freeswitch log文件,当发现注册攻击时 启用防火墙规则拒绝此ip的请求。
⒐上面就是Linux安装使用Failban的方法介绍了,本文还介绍了Failban的使用实例,有兴趣的朋友可以动手实践下吧。