lfd 原理

手册/FAQ (393) 2011-08-09 15:03:20

    保护服务器网络守护进程免受入站攻击的最佳方法就是监控它们的认证日志。同一地址短时间内数次登录尝试无效常常意味着有人在尝试通过暴力法登陆服务器,通常是通过猜测用户名和密码,因而产生认证和登录失败。
    lfd可以监控大部分经常被滥用的协议,SSHD, POP3, IMAP, FTP 以及 HTTP密码保护。和其他应用程序不同,lfd是一个无间断监控日志的守护进程,因此可以在发现此类攻击后几秒内迅速反应。它还可以跨协议监控,因此即使短时间内尝试发生在不同协议上,这些尝试也将会根据阈值被计入。
    一旦达到设定的失败登录次数,lfd会立即派生一个子进程,同时使用csf阻止该攻击IP地址进出连接,并迅速及时地阻止其攻击。通常其他使用时钟守护作业的类似程序5分钟执行一次,因此会完全错过蛮力攻击,或执行时该攻击已结束,或只是在等待时机。此时lfd已经阻止攻击者的IP地址了。
    通过子进程执行阻止和发送提醒邮件的操作,主守护进程不会被延迟,可以继续监控日志。
    如果您想知道lfd何时阻止了某个IP地址,您可以启用电子邮件提醒(默认设置),然后在/var/log/lfd.log里查看日志。如果您使用logcheck,您可以通过编辑logcheck.sh和添加以下命令将其添加到您的日志监控:
    $LOGTAIL /var/log/lfd.log >> $TMPDIR/check.$$
    将它添加到您所选择的其他日志中。

THE END

上一篇

下一篇