起因

许久没看服务器的后台,发现有人在疯狂扫后台,试图暴力破解服务器的密码,看了一下log日志,发现这个ip每天都尝试数十次,为了增加他的难度动力,在服务器上安装一下fail2ban这个安全软件。

fail2ban介绍

Fail2ban 是一个开源的安全工具,用于防止服务器遭受暴力攻击。 fail2ban会自动扫描服务器的日志文件,如果发现任何可疑尝试,它将在特定时间阻止特定IP,设置延迟等待,防止服务器被暴力破解。

安装fail2ban

1
2
3
4
5
6
# 更新系统
apt update

apt upgrade

apt install fail2ban

配置fail2ban

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
# 启动服务
systemctl start fail2ban

# 查看启动状态
systemctl status fail2ban

# 配置fail2ban.local
cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local

vim /etc/fail2ban/fail2ban.local

# 修改下面的内容,也可以不修改
loglevel = INFO
syslogsocket = auto
socket = /var/run/fail2ban/fail2ban.sock
pidfile = /var/run/fail2ban/fail2ban.pid

# 配置jail.local
vim /etc/fail2ban/jail.local

# 写入下面内容
[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
banaction = iptables-multiport
maxretry = 3
findtime = 180
bantime = 900
filter = sshd

# 重新启动fail2ban
systemctl restart fail2ban

systemctl status fail2ban

# 检查日志
fail2ban-client status
fail2ban-client status sshd