文章目录
- 一、安装
- 二、配置 Fail2Ban
- 三、重启Fail2Ban
- 四、验证
Fail2Ban是一个用于保护服务器免受恶意登录尝试的工具。它监视系统日志文件以检测恶意行为,如多次失败的登录尝试、密码破解等,会自动调整防火墙规则以阻止来自恶意IP地址的进一步访问。通过动态地更新防火墙规则,Fail2Ban可以帮助降低服务器面临的安全风险。这个工具易于配置,并且可以根据需要自定义规则以适应不同的安全需求。Fail2Ban在保护服务器免受暴力攻击和恶意访问方面发挥着重要作用。
一、安装
对于 Debian/Ubuntu 系统,可以使用以下命令:
sudo apt-get install fail2ban
对于 CentOS/RHEL 系统,可以使用:
sudo yum install epel-release
sudo yum install fail2ban
二、配置 Fail2Ban
编辑 /etc/fail2ban/jail.local 文件(如果不存在,则新建一个)。
可以修改以下的jail来配置预防各种暴力破解,此处举sshd和nginx授权登录暴力破解为例(nginx需要提前开启auth_basic模块再结合fail2ban进行放置暴力破解)
[sshd]
#sshd jail默认开启,关闭可以添加参数false
#enabled = false
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s[nginx-http-auth]
enabled = true
port = http,https
#所使用的过滤规则
filter = nginx-http-auth
action = iptables[name=NGINX-AUTH, port=443, protocol=tcp]
#错误日志路径
logpath = /data/logs/nginx/nginx.error.log
#尝试次数
maxretry = 3
#封禁时间,单位:秒
bantime = 600
三、重启Fail2Ban
systemctl restart fail2ban
四、验证
查看Fail2Ban状态
fail2ban-client status
连续输错5次密码模拟暴力破解攻击
查看fail2ban禁用列表,可以看到ip已经被封禁
fail2ban-client banned
解除封禁
fail2ban-client set sshd unbanip 139.162.13.30
