fail2ban(系統(tǒng)日志分析軟件)0.10最新版

fail2ban是一款非常強(qiáng)大的系統(tǒng)安全保護(hù)軟件。它可以監(jiān)控常用的服務(wù)器軟件和系統(tǒng)日志，修改錯(cuò)誤的信息。操作簡(jiǎn)單，使用方便，有這方面需要的朋友快來(lái)下載使用吧！

系統(tǒng)日志分析軟件

功能介紹

1、支持大量服務(wù)。如sshd,apache,qmail,proftpd,sasl等等

2、支持多種動(dòng)作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mailnotifications(郵件通知)等等。

3、在logpath選項(xiàng)中支持通配符

4、需要Gamin支持(注：Gamin是用于監(jiān)視文件和目錄是否更改的服務(wù)工具)

5、需要安裝python,iptables,tcp-wrapper,shorewall,Gamin。如果想要發(fā)郵件，那必需安裝postfix/sendmail

使用方法

//下載rpmforge(里面有大量最新的rpm包)

#wgetURL<此URL請(qǐng)用擴(kuò)展閱讀中的地址替換>

//安裝rpmforge

#rpm-ivhrpmforge-release-0.3.6-1.el5.rf.i386.rpm

//用yum安裝fail2ban

#yuminstallfail2ban

安裝完成后，fail2ban的設(shè)定檔在這里

#/etc/fail2ban

fail2ban.conf日志設(shè)定文檔

jail.conf阻擋設(shè)定文檔

/etc/fail2ban/filter.d具體阻擋內(nèi)容設(shè)定目錄

默認(rèn)fail2ban.conf里面就三個(gè)參數(shù)，而且都有注釋。

-------------------------------

#默認(rèn)日志的級(jí)別

loglevel=3

#日志的目的

logt*arget=/var/log/fail2ban.log

#socket的位置

socket=/tmp/fail2ban.sock

-------------------------------

jail.conf配置里是fail2ban所保護(hù)的具體服務(wù)的配置，這里以SSH來(lái)講。

在jail.conf里有一個(gè)[DEFAULT]段，在這個(gè)段下的參數(shù)是全局參數(shù)，可以被其它段所覆蓋。

-------------------------------

#忽略IP,在這個(gè)清單里的IP不會(huì)被屏蔽

ignoreip=127.0.0.1172.13.14.15

#屏蔽時(shí)間

bantime=600

#發(fā)現(xiàn)時(shí)間，在此期間內(nèi)重試超過(guò)規(guī)定次數(shù)，會(huì)激活fail2ban

findtime=600

#嘗試次數(shù)

maxretry=3

#日志修改檢測(cè)機(jī)制

backend=auto

[ssh-iptables]

#激活

enabled=true

#filter的名字，在filter.d目錄下

filter=sshd

#所采用的工作，按照名字可在action.d目錄下找到

action=iptables[name=SSH,port=ssh,protocol=tcp]

mail-whois[name=SSH,dest=root]

#目的分析日志

logpath=/var/log/secure

#覆蓋全局重試次數(shù)

maxretry=5

#覆蓋全局屏蔽時(shí)間

bantime=3600

-------------------------------

對(duì)jail.conf進(jìn)行一定的設(shè)置后，就可以使用fail2ban了。

//啟動(dòng)fail2ban

#servicefail2banstart

啟動(dòng)之后，只要符合filter所定義的正則式規(guī)則的日志項(xiàng)出現(xiàn)，就會(huì)執(zhí)行相應(yīng)的action。