Centos7使用fail2ban配合python脚本防范ssh暴力破解(修改)

一、编写相关python脚本

python版本为3.6.8

• 邮件发送脚本 - sendmail.py，将上面几行smtp的配置换成你自己的

  #!/usr/bin/python3
  import smtplib
  import sys
  from email.header import Header
  from email.mime.text import MIMEText
  from email.utils import formataddr
  
  # 第三方 SMTP 服务
  mail_host = "smtp.qq.com"  # 设置服务器
  mail_user = "xxxxxx@qq.com"  # 用户名
  mail_pass = "xxxxxxxxxxx"  # 口令
  sender = 'xxxxxxxxx@qq.com'  # 发送者
  
  
  def send_mail(subject, content, receivers, type):
      message = MIMEText(content, type, 'utf-8')
      message['From'] = formataddr(["xxxxxx", sender])  # 括号中对应发件人邮箱昵称、发件人邮箱账号
      message['Subject'] = Header(subject, 'utf-8')
      try:
          smtpObj = smtplib.SMTP_SSL(mail_host)
          smtpObj.connect(mail_host, 465)  # 25 为 SMTP 端口号
          smtpObj.login(mail_user, mail_pass)
          smtpObj.sendmail(sender, receivers, message.as_string())
      except Exception as e:
          print(e)
  
  
  if __name__ == "__main__":
      # html_type = 'plain'
      html_type = 'html'
      if sys.argv.__len__() > 3:
          sub = sys.argv[1]
          content = sys.argv[2]
          to = sys.argv[3]
          print(to)
          send_mail(sub, content, to, html_type)
          print('邮件发送成功！')
      else:
          print('参数不够!')

• ip地理位置信息查询 - ipinfo.py

参考 Ip2region 项目，将项目中 binding/python/ip2Region 和 data/ip2region.db 复制到 /bin 目录下，也可以放在别的目录下，最好和 ipinfo.py 在同一目录下，下面的配置文件就得跟着一起修改了

#!/usr/bin/python3
import sys

from ip2Region import Ip2Region

searcher = Ip2Region('/bin/ip2region.db')


def get_ip_info(ip):
    res = searcher.binarySearch(ip)
    region = res['region'].decode('utf-8')
    split = region.split('|')
    country_ = split[0]
    province_ = ''
    city_ = ''
    net_ = ''
    if split[2] is not '0':
        province_ = split[2]
    if split[3] is not '0':
        city_ = split[3]
    if split[4] is not '0':
        net_ = split[4]
    city_name_full = f'{country_}{province_}{city_}{net_}'
    return city_name_full


if __name__ == '__main__':
    ip = '127.0.0.1'
    if sys.argv.__len__() > 1:
        ip = sys.argv[1]
    print(get_ip_info(ip))

二、安装fail2ban

(1)使用yum安装

yum install -y epel-release  
yum install -y fail2ban

启动服务

systemctl start fail2ban

允许开机自启

systemctl enable fail2ban

(2)源码安装

最好先update一下

yum update 
git clone https://github.com/fail2ban/fail2ban.git
cd fail2ban
python setup.py install

如果没有git，安装git

yum install -y git

安装完后将fail2ban添加到systemd服务

cp build/fail2ban.service /usr/lib/systemd/system/fail2ban.service

对于新创建的unit文件，或者修改了的unit文件 需要重载配置文件

systemctl daemon-reload

启动服务

systemctl start fail2ban

允许开机自启

systemctl enable fail2ban

三、配置jail.conf文件

vim /etc/fail2ban/jail.conf

在文件开头加入如下内容

#针对各服务的检查配置，如设置bantime、findtime、maxretry和全局冲突，服务优先级大于全局设置
[ssh-iptables]  
#是否激活此项（true/false）
enabled  = true                          
#过滤规则filter的名字，对应filter.d目录下的sshd.conf 
filter   = sshd                          
#动作的相关参数
action   = iptables[name=SSH, port=222, protocol=tcp] 
                mail-whois[name=SSH, dest=你的邮箱] 
#                                   触发报警的收件人  
#检测的系统的登陆日志文件 
logpath  = /var/log/secure                
#最大尝试次数
maxretry = 2

在[DEFAULT]子项里有一些属性也建议修改一下

#ip 被封禁的时间，单位：s(秒)，m(分钟)。
bantime  = 86400s  
#单位：s(秒)，m(分钟)。如果8000s内达到maxretry(即最大尝试次数)，ip就会被封禁。
findtime  = 8000s
#最大尝试次数，如果达到这个次数，ip就会被封禁
maxretry = 2

编辑 /etc/fail2ban/action.d/mail-whois.conf
如果是通过yum安装的，可能会不存在此配置文件，可以直接创建此文件，或者将源代码克隆下来

git clone https://github.com/fail2ban/fail2ban.git

配置文件都在fail2ban/config/action.d/下面，

将缺少的配置文件复制到/etc/fail2ban/action.d/下面即可

cp config/action.d/mail-whois.conf  /etc/fail2ban/action.d/mail-whois.conf

vim /etc/fail2ban/action.d/mail-whois.conf

修改成类似如下配置：

[INCLUDES]

before = mail-whois-common.conf

[Definition]

norestored = 1

actionstart = /bin/sendmail.py "[Fail2Ban] <name>: started on myserver" "服务 <name> <br"">启动成功" <dest>

actionstop = /bin/sendmail.py "[Fail2Ban] <name>: stopped on myserver" "服务 <name> <br"">已经停止" <dest>

actioncheck = 

actionban = /bin/sendmail.py "[Fail2Ban] <name>: banned <ip> from yayunbao.com" "
            IP: <ip>  <br"">
            失败次数: <failures> <br"">
            服务: <name>.<br"">
            位置: `/bin/ipinfo.py <ip>` <br"">
            " <dest>
actionunban = 

[Init]

name = default

dest = root

重启fail2ban

systemctl restart fail2ban

用另一台虚拟机测试，可以看到在2次尝试登陆失败后，fail2ban立刻就生效了，再次尝试连接时就直接被拒绝了

查看fail2ban的运行状态，可以看到一个jail(监狱)正在运行中

fail2ban-client status

查看jail的详细信息，可以看到被封禁的ip

fail2ban-client status ssh-iptables

解封ip：

fail2ban-client set ssh-iptables unbanip 192.168.5.10

注意！如果修改过系统时间的时区，日志的记录时间还是以之前的时区进行记录日志，/var/log/secure记录的时间跟系统时间不对的话，fail2ban的核心功能就会完全失效，也就是说封禁不了ip。所以修改过系统时间的时区之后，一定要重启一下系统日志服务(rsyslog)

systemctl restart rsyslog

参考资料：
https://my.oschina.net/plutonji/blog/191683
https://www.fail2ban.org/wiki/index.php/MANUAL_0_8
https://linux.cn/article-5067-1.html
https://www.cnblogs.com/wangxiaoqiangs/p/5630325.html
https://www.cnblogs.com/jasmine-Jobs/p/5927968.html
http://www.cszhi.com/20131101/fail2ban.html