生產(chǎn)環(huán)境中的Apache HTTP服務器可能會遭到各種不同方式的攻擊。攻擊者可能采用蠻力攻擊或執(zhí)行惡意腳本，企圖訪問未經(jīng)授權的目錄或禁止訪問的目錄。一些惡意機器人程序可能會掃描你的網(wǎng)站，查找任何可能存在的安全漏洞，或者收集電子郵件地址或網(wǎng)站表單，以便發(fā)送垃圾郵件。

Apache HTTP服務器隨帶全面的日志功能，可以捕獲及記錄表明此類攻擊的異常事件。不過，系統(tǒng)性地分析詳細的Apache日志，并迅速應對潛在攻擊(比如禁止/取消禁止冒犯性的IP地址)仍然很重要。這時候fail2ban派得上用場，可以簡化系統(tǒng)管理員的工作。

fail2ban是一款開源入侵預防工具，可以根據(jù)系統(tǒng)日志來檢測各種各樣的攻擊，并且自動采取預防行動，比如說使用iptables禁止IP地址，通過/etc/hosts.deny阻止連接，或者通過電子郵件通知事件。fail2ban隨帶一組預先定義的“jail”(暫譯“監(jiān)獄”)，這些jail使用針對特定應用程序的日志過濾器來檢測常見攻擊。你還可以編寫自定義的jail，阻止針對任意應用程序的任何特定的攻擊。

我在本教程中將演示你如何可以配置fail2ban，以保護Apache HTTP服務器。我假設你事先已經(jīng)安裝好了Apache HTTP服務器和fail2ban。至于fail2ban的安裝，請參閱另一篇教程：http://xmodulo.com/how-to-protect-ssh-server-from-brute-force-attacks-using-fail2ban.html。

fail2ban Jail是什么?

首先允許我比較詳細地介紹一下fail2ban jail。jail定義了針對特定應用程序的策略，fail2ban根據(jù)該策略來觸發(fā)保護某個應用程序的行動。針對Apache、Dovecot、Lighttpd、MySQL、Postfix和SSH之類的流行應用程序，fail2ban隨帶幾個在/etc/fail2ban/jail.conf中預先定義的jail。每個jail依靠針對特定應用程序的日志過濾器(位于/etc/fail2ban/fileter.d)來檢測常見攻擊。不妨看一個示例性的jail：SSH jail。

[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
banaction = iptables-multiport

這個SSH jail的配置由幾個參數(shù)來定義：

•[ssh]：jail的名稱，帶方括號。
•enabled：該jail是不是激活。
•port：要保護的端口號(數(shù)字編號或公共名)。
•filter：用來檢測攻擊的分析日志的規(guī)則。
•logpath：要仔細分析的日志文件。
•maxretry：禁止之前最多失敗次數(shù)。
•banaction：禁止動作。

jail配置中定義的任何參數(shù)將覆蓋對應的適用整個fail2ban范圍的默認參數(shù)。反過來，任何遺漏的參數(shù)會被賦予在[DEFAULT]部分中定義的默認值。

預先定義的日志過濾器位于/etc/fail2ban/filter.d，可用的動作位于/etc/fail2ban/action.d。

如果你想覆蓋fail2ban默認參數(shù)或者定義任何自定義的jail，只要通過創(chuàng)建/etc/fail2ban/jail.local文件就能實現(xiàn)。我在本教程中將使用/etc/fail2ban/jail.local。#p#

啟用預先定義的Apache Jail

默認安裝的fail2ban為Apache HTTP服務器提供了幾種預先定義的jail和過濾器。我準備啟用那些內(nèi)置的Apache jail。由于Debian配置和紅帽配置略有差異，我為它們單獨提供了fail2ban jail配置。

在Debian或Ubuntu上啟用Apache Jail

想在基于Debian的系統(tǒng)上啟用預先定義的Apache jail，就要創(chuàng)建/etc/fail2ban/jail.local，如下所示。

$ sudo vi /etc/fail2ban/jail.local

# 檢測密碼驗證失敗

[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# 檢測搜索安全薄弱環(huán)節(jié)和php漏洞的潛在行為

[apache-noscript]
enabled = true
port = http,https
filter = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 6

# 檢測Apache溢出企圖

[apache-overflows]
enabled = true
port = http,https
filter = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2

# 檢測未能在服務器上找到主目錄的活動

[apache-nohome]
enabled = true
port = http,https
filter = apache-nohome
logpath = /var/log/apache*/*error.log
maxretry = 2

由于上述沒有一個jail指定動作，所有這些jail被觸發(fā)后將執(zhí)行默認動作。想弄清楚默認動作，尋找/etc/fail2ban/jail.conf中[DEFAULT]部分下面的“banaction”。

banaction = iptables-multiport

在這個情況下，默認動作是iptables-multiport(在/etc/fail2ban/action.d/iptables-multiport.conf中定義)。該動作使用iptables以及multiport模塊禁止IP地址。

啟用jail后，你必須重啟fail2ban，以便裝入jail。

$ sudo service fail2ban restart

在CentOS/RHEL或Fedora上啟用Apache jail

想在基于紅帽的系統(tǒng)上啟用預先定義的Apache jail，就要創(chuàng)建/etc/fail2ban/jail.local，如下所示。

$ sudo vi /etc/fail2ban/jail.local

# 檢測密碼驗證失敗

[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/httpd/*error_log
maxretry = 6

# 檢測搜索電子郵件地址的垃圾郵件機器人程序

[apache-badbots]
enabled = true
port = http,https
filter = apache-badbots
logpath = /var/log/httpd/*access_log
bantime = 172800
maxretry = 1

#檢測搜索安全薄弱環(huán)節(jié)和php漏洞的潛在行為vulnerabilities

[apache-noscript]
enabled = true
port = http,https
filter = apache-noscript
logpath = /var/log/httpd/*error_log
maxretry = 6

# 檢測Apache溢出企圖

[apache-overflows]
enabled = true
port = http,https
filter = apache-overflows
logpath = /var/log/httpd/*error_log
maxretry = 2

# 檢測未能在服務器上找到主目錄的活動

[apache-nohome]
enabled = true
port = http,https
filter = apache-nohome
logpath = /var/log/httpd/*error_log
maxretry = 2

# 檢測未能執(zhí)行與幾種流行Web服務

# (比如webmail，phpMyAdmin，WordPress)

# 有關的不存在腳本

port = http,https
filter = apache-botsearch
logpath = /var/log/httpd/*error_log
maxretry = 2

請注意：所有這些jail的默認動作是iptables-multiport(定義為/etc/fail2ban/jail.conf中[DEFAULT]下面的“banaction”)。該動作使用iptable以及multiport模塊禁止IP地址。

啟用jail后，你必須重啟fail2ban，將jail裝入到fail2ban中。

在Fedora或CentOS/RHEL 7上：

$ sudo systemctl restart fail2ban

在CentOS/RHEL 6上：

$ sudo service fail2ban restart

#p#

檢查和管理Fail2ban禁止狀態(tài)

一旦jail被激活，你可以使用fail2ban-client命令行工具，監(jiān)控當前的禁止狀態(tài)。

想查看活動jail列表：

$ sudo fail2ban-client status

想查看某一個jail的狀態(tài)(包括被禁止IP列表)：

$ sudo fail2ban-client status [name-of-jail]

你還可以手動禁止或取消禁止IP地址。

想讓某一個jail禁止IP地址：

$ sudo fail2ban-client set [name-of-jail] banip [ip-address]

想取消禁止某個jail阻止的IP地址：

$ sudo fail2ban-client set [name-of-jail] unbanip [ip-address]

結束語

這篇教程介紹了fail2ban jail是如何工作的，以及如何使用內(nèi)置的Apache jail保護Apache HTTP服務器。你可能需要改動現(xiàn)有的jail，或者編寫自定義的jail和日志過濾器，這要看你的環(huán)境以及需要保護的Web服務的具體類型。參閱outfail2ban的官方Github頁面：https://github.com/fail2ban/fail2ban，即可了解jail和過濾器的最新例子。

你是否在任何生產(chǎn)環(huán)境中使用fail2ban?歡迎交流經(jīng)驗和心得。

原文地址：http://xmodulo.com/configure-fail2ban-apache-http-server.html