我最近安装了fail2ban,作为保护我们的Web服务器之一免受SSH攻击和HTTP攻击的一种方式。 目前我得到很多ssh攻击,但是fail2ban禁止,然后解除这些攻击。 他们是永久禁止这些IP由于攻击水平的一种方式。
另外在fail2ban中如何做到允许来自某个IP的HTTP请求,所以这些都不会被禁止,因为我们的开发人员会在/ var / www / dev文件夹下发出很多奇怪的请求来显示文件不存在等。
所有的build议欢迎欢呼
您可以添加一个IP /networking到fail2ban白名单来完成(第二部分,我的意思是)。 编辑ignoreip参数(可能位于/etc/fail2ban )。
至于第一部分,我在fail2ban wiki上看到了这个解决方法:
http://whyscream.net/wiki/index.php/Fail2ban_monitoring_Fail2ban
我使用denyhosts
默认情况下,它不会解除禁令
您可以在/etc/hosts.allow中有排除项
我想你将需要使用fail2ban(用于临时禁令)和denyhosts(用于永久禁令)的组合。
我build议对永久性禁令非常小心,这可能会以意想不到的方式(例如有效的请求和来自同一公共IP的黑客攻击,因为真正的源头是在伪装的防火墙(例如大学networking)后面)发生逆向。 在fail2ban中尝试特定的黑客攻击设置的监狱设置可能是一个更好的主意,直到你达成妥协。