Fail2Ban 可以用來防護 Linux Server 上的 SSH、vsftp、dovecot...等服務免於遭駭客使用暴力密碼入侵。我以前曾寫過即時封鎖想要入侵 SSH 的程式,不過 Fail2Ban 厲害多了,也完全可以取代我寫的程式。
安裝前可以先用下列指令來查看可安裝的版本:
yum info fail2ban
像我的系統 (CentOS 5.x) 查出來有兩個版本: 0.8.14 與 0.6.0,來自不同的套件庫,但預設卻安裝 0.6.0,所以我必須要指定安裝的版本為 0.8.14,以下的說明也是針對 0.8.*。
安裝 Fail2Ban:
yum install fail2ban
或
yum install fail2ban-版本
啟動 Fail2Ban:
service fail2ban start chkconfig fail2ban on
為什麼這次要安裝 vsftpd,而不安裝 proftpd 呢? 其實只有一個原因,就是 vsftpd 直接支援 UTF8,並且會自動轉換為 Client 端 FTP 軟體的語系。
1. 安裝 vsftpd:
yum -y install vsftpd touch /etc/vsftpd/chroot_list chkconfig vsftpd on
2. 安裝完後讓防火牆可以通過 21 Port:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT service iptables save
3. 編輯 "/etc/vsftpd/vsftpd.conf",找到:
anonymous_enable=YES
將 YES 改成 NO。
如要限制用戶只能在自己的家目錄,則在檔案加入:
# 限制用戶只能在家目錄 (/etc/vsftpd/chroot_list 的用戶可不受限制) chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd/chroot_list
如果沒有 /etc/vsftpd/chroot_list,你仍須建立這個空白檔案,否則 ftp 會連不上。
如要 ftp 的檔案列表可以看到跟 Server 上同樣的時間,請在檔案加入:
# 使用本地時區 use_localtime=YES
4. 啟動 vsftpd:
service vsftpd start
我們解決了什麼問題?我們創造了什麼價值?
近期迴響