什麼是Fail2ban
Fail2ban是一個工具,你可以用它來減少攻擊對你的伺服器的影響。 通常情況下,您將其配置為監控日誌檔中的可疑活動。 一旦該活動超過一個閾值,你可以讓它採取某種行動,如在防火牆中阻止源IP位址。 這是一個早期阻止攻擊的好方法,但並不能完全防止它們。
為什麼用它來保護WordPress
由於WordPress非常流行,WordPress經常成為自動攻擊的目標。 我們經常看到針對xmlrpc.php或wp-login.php的暴力攻擊,這些攻擊依賴於大量的請求,希望最終能有一個成功。 使用強大的密碼,特別是有管理許可權的帳戶,對減少攻擊的風險非常重要。 Fail2ban可以用來減緩攻擊者的速度。 這有兩個原因:它使他們不太可能成功; 它減少了處理這些請求給伺服器帶來的負載。
其他選擇
- 使用外部Web應用防火牆(WAF),如Sucuri或Cloudflare。
- 使用網站伺服器配置選項來限制請求,如Nginx的limit_req。
- WordPress安全外掛程式,如Wordfence。
盡可能在上游阻止攻擊總是有利於節省資源,所以我們通常傾向於使用網路應用程式防火牆或網路伺服器配置,而不是使用fail2ban或WordPress外掛程式,但每個網站、伺服器和客戶都是不同的,所以這將取決於所使用和需要的確切配置。
安裝和配置fail2ban(適用於Ubuntu)
sudo apt-get install fail2banFail2ban的工作原理是有一個引用日誌檔的監獄檔,一個篩檢程式和一個動作。 默認情況下,fail2ban會保護sshd。 如果你以其他方式限制SSH訪問,那麼你可能想把它關掉。 你可以通過在/etc/fail2ban/jail.local中創建以下內容來做到這一點
[sshd] enabled = falseFail2ban並沒有為WordPress提供一個篩檢程式。 我想感謝這兩篇文章提供了一個好的起點。 我們經常看到對『Xmlrpc.php』(注意雙斜杠)的請求,所以對下面的內容進行了調整,以標記它們。 由於這是在檢測任何對wp-login/xmlrpc的請求,當合法的管理員用戶登錄時,它將會被標記出來。 我們將在監獄的配置中考慮到這一點。
你可以在/etc/fail2ban/filter.d/wordpress.conf中創建這個篩檢程式。
[Definition]
failregex = ^<HOST> .* "(GET|POST) /+wp-login.php HTTP.* 200
^<HOST> .* "(GET|POST) /+xmlrpc.php HTTP.* 200jail檔有大部分的配置選項。
- logpath,在這裡是指Apache訪問日誌的路徑
- action,如果你使用的是不同的防火牆,或者想用電子郵件代替,可以在/etc/fail2ban/action.d/中查看可用的選項,調整這個。
- maxretry,在findtime秒內禁止的請求的數量。
- bantime,禁止的秒數,在這個動作中,它們在iptables中被阻止的時間。
- 如前所述,該過濾器將同時捕獲惡意和合法使用者。 我們將maxrety配置得相當高,bantime配置得相對較低,以盡量減少合法使用者被封的概率和影響。 雖然這允許攻擊者每10秒發出一個請求,但這隻是他們在沒有fail2ban的情況下發出請求的一小部分。
你可以以/etc/fail2ban/jail.d/wordpress.conf的形式創建jail檔。
[wordpress]
enabled = true
port = http,https
filter = wordpress
action = iptables-multiport[name=wordpress, port="http,https", protocol=tcp]
logpath = /var/log/apache2/all-sites-access.log
maxretry = 12
findtime = 120
bantime = 120重新啟動fail2ban以載入你的新配置
sudo systemctl restart fail2ban檢查你的fail2ban設置
查看jails
sudo fail2ban-client status顯示關於WordPress jails的資訊
sudo fail2ban-client status wordpress列出F2B-wordpress的iptables鏈(這將在fail2ban第一次阻止一個IP時創建,並包含被阻止的IP)。
sudo iptables -v -n -L f2b-wordpress
sudo ip6tables -v -n -L f2b-wordpress查看日誌,以查看任何被禁止或標記的IP
sudo less /var/log/fail2ban.log
