fail2ban

Jimmy来教会访问，中午吃饭的时候随口聊了几句技术问题。Fiona在边上说，不准说听不懂的黑话……于是我们一起怼她说，如果我们不说黑话，你怎么可以在国内自由地发facebook呢？ Jimmy加上一句，你怎么能在国内上instgram呢？ 所以，有的时候后端技术还是需要的，虽然在前端的那位，看起来特别风光靓丽。 一旦自己开始管理网站，就发现需要处理的问题太多。我的朋友Water的网站被人黑的已经比春晚的猴子还要黑了，各种bot在上面肆意妄为，还有用字典攻击phpadmin数据库密码的项目，有一个名叫auth-ready.php的文件负责把输入的所有用户名和密码发给一个google邮箱和一个俄罗斯的邮箱（幸好我懒，没有配mail服务，所以应该什么也发不出去）。 只有使用fail2ban，开始认真地防范。 fail2ban基本上有三个部分组成： jail：配置对某个日志文件的监控，命中条件，定义要应用的正则表达式过滤器，以及要采取的行动，封锁ip的时间等等。 filter: 一个正则表达式，用来提取日志中符合条件的ip地址。比如，failregex = ^<HOST> -.*”(GET|POST|HEAD).*HTTP.*” 404 ，据提取nginx访问日志中一切 get|post|head 返回404的ip。 举例如下： 68.180.228.151 - - [18/Feb/2018:21:30:35 -0600] "GET /xiaoshuo/6203/du1968347.html HTTP/1.1" 404 169 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 68.180.228.151 - - [18/Feb/2018:21:30:37 -0600] "GET /xiaoshuo/5749/ HTTP/1.1" 404 169 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 68.180.228.151 - - [18/Feb/2018:21:30:37 -0600] "GET /xiaoshuo/20580/ HTTP/1.1" 404 169 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 68.180.228.151 - - [18/Feb/2018:21:30:38 -0600] "GET /xiaoshuo/4552/du1192650....

自己做站长？ 新开的服务器，第一天上去就已经录得数万次攻击。 首先把root登录权限取消掉，然后把自己的登录密码设为40位。接着把sshd的登录重试次数设为6次，先挡住一部分暴力攻击。 然后就开始各种花色搞法，调整wordpress的性能。 登录服务器看了看安全日志，觉得还是有若干攻击。于是顺便取了一个攻击ip，提交到abused IP 数据库 。 继续做wordpress性能调整，终于把Pingdom的等级提高到A级，PageSpeed的得分提高到96。 再上网看看，还是觉得那些攻击ip十分讨厌。于是打算写个脚本，自动提起攻击ip，用防火墙加以封锁。 照例先查google，因为多半有人已经开发了类似的工具。果然，有一个叫做fail2ban的服务，可以自动做这事。 为了SEO优化提交的subheading 于是暂且放下wordpress的调优，设置fail2ban + ufw。设置好对ssh和nginx的保护之后，决定自动提交攻击ip到abusedIPDB上去。从github下载相应的配置文件，把abusedIPDB的API Key附会上去，似乎就可以工作了。 目前的比分：中国-2；韩国-2；美国-2；巴西-1；三胖居然没出手，可能忙着冬奥会去了。