如何使用 Fail2Ban 保护服务器免受暴力攻击-LINUX-PHP中文网

首页

系统教程

LINUX

如何使用 Fail2Ban 保护服务器免受暴力攻击

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Apr 27, 2024 am 08:34 AM

mysqllinuxpythoncentosapachenginxaccesslinux教程红帽linux系统linux命令linux认证红帽linuxlinux视频

Linux 管理员的一个重要任务是保护服务器免受非法攻击或访问。默认情况下，Linux 系统带有配置良好的防火墙，比如iptables、Uncomplicated Firewall（UFW），ConfigServer Security Firewall（CSF）等，可以防止多种攻击。

如何使用 Fail2Ban 保护服务器免受暴力攻击

任何连接到互联网的机器都是恶意攻击的潜在目标。有一个名为 Fail2Ban 的工具可用来缓解服务器上的非法访问。

什么是 Fail2Ban？

Fail2Ban[1] 是一款入侵防御软件，可以保护服务器免受暴力攻击。它是用 Python 编程语言编写的。 Fail2Ban 基于auth 日志文件工作，默认情况下它会扫描所有 auth 日志文件，如/var/log/auth.log、/var/log/apache/access.log 等，并禁止带有恶意标志的IP，比如密码失败太多，寻找漏洞等等标志。

通常，Fail2Ban 用于更新防火墙规则，用于在指定的时间内拒绝 IP 地址。它也会发送邮件通知。 Fail2Ban 为各种服务提供了许多过滤器，如 ssh、apache、nginx、squid、named、mysql、nagios 等。

Fail2Ban 能够降低错误认证尝试的速度，但是它不能消除弱认证带来的风险。这只是服务器防止暴力攻击的安全手段之一。

如何在 Linux 中安装 Fail2Ban

Fail2Ban 已经与大部分 Linux 发行版打包在一起了，所以只需使用你的发行包版的包管理器来安装它。

对于 Debian / Ubuntu，使用 APT-GET 命令[2]或 APT 命令[3]安装。

$ sudo apt install fail2ban

对于 Fedora，使用 DNF 命令[4]安装。

$ sudo dnf install fail2ban

对于 CentOS/RHEL，启用 EPEL 库[5]或 RPMForge[6] 库，使用 YUM 命令[7]安装。

$ sudo yum install fail2ban

对于 Arch Linux，使用 Pacman 命令[8]安装。

$ sudo pacman -S fail2ban

对于 openSUSE , 使用 Zypper命令[9]安装。

$ sudo zypper in fail2ban

如何配置 Fail2Ban

默认情况下，Fail2Ban 将所有配置文件保存在 /etc/fail2ban/ 目录中。主配置文件是 jail.conf，它包含一组预定义的过滤器。所以，不要编辑该文件，这是不可取的，因为只要有新的更新，配置就会重置为默认值。

只需在同一目录下创建一个名为 jail.local 的新配置文件，并根据您的意愿进行修改。

# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

默认情况下，大多数选项都已经配置的很完美了，如果要启用对任何特定 IP 的访问，则可以将 IP 地址添加到 ignoreip 区域，对于多个 IP 的情况，用空格隔开 IP 地址。

配置文件中的 DEFAULT 部分包含 Fail2Ban 遵循的基本规则集，您可以根据自己的意愿调整任何参数。

# nano /etc/fail2ban/jail.local

[DEFAULT]
ignoreip = 127.0.0.1/8 192.168.1.100/24
bantime = 600
findtime = 600
maxretry = 3
destemail = 2daygeek@gmail.com

ignoreip：本部分允许我们列出 IP 地址列表，Fail2Ban 不会禁止与列表中的地址匹配的主机
bantime：主机被禁止的秒数
findtime：如果在最近 findtime 秒期间已经发生了 maxretry 次重试，则主机会被禁止
maxretry：是主机被禁止之前的失败次数

如何配置服务

Fail2Ban 带有一组预定义的过滤器，用于各种服务，如 ssh、apache、nginx、squid、named、mysql、nagios 等。我们不希望对配置文件进行任何更改，只需在服务区域中添加 enabled = true 这一行就可以启用任何服务。禁用服务时将 true 改为 false 即可。

# SSH servers
[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

enabled：确定服务是打开还是关闭。
port：指明特定的服务。如果使用默认端口，则服务名称可以放在这里。如果使用非传统端口，则应该是端口号。
logpath：提供服务日志的位置
backend：指定用于获取文件修改的后端。

重启 Fail2Ban

进行更改后，重新启动 Fail2Ban 才能生效。

[For SysVinit Systems]
# service fail2ban restart

[For systemd Systems]
# systemctl restart fail2ban.service

验证 Fail2Ban iptables 规则

你可以使用下面的命令来确认是否在防火墙中成功添加了Fail2Ban iptables 规则。

# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-apache-auth tcp -- anywhere anywhere multiport dports http,https
f2b-sshd tcp -- anywhere anywhere multiport dports 1234
ACCEPT tcp -- anywhere anywhere tcp dpt:1234

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-apache-auth (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

Chain f2b-sshd (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

如何测试 Fail2Ban

我做了一些失败的尝试来测试这个。为了证实这一点，我要验证 /var/log/fail2ban.log 文件。

2017-11-05 14:43:22,901 fail2ban.server [7141]: INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6
2017-11-05 14:43:22,987 fail2ban.database [7141]: INFO Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
2017-11-05 14:43:22,996 fail2ban.database [7141]: WARNING New database created. Version '2'
2017-11-05 14:43:22,998 fail2ban.jail [7141]: INFO Creating new jail 'sshd'
2017-11-05 14:43:23,002 fail2ban.jail [7141]: INFO Jail 'sshd' uses poller {}
2017-11-05 14:43:23,019 fail2ban.jail [7141]: INFO Initiated 'polling' backend
2017-11-05 14:43:23,019 fail2ban.filter [7141]: INFO Set maxRetry = 5
2017-11-05 14:43:23,020 fail2ban.filter [7141]: INFO Set jail log file encoding to UTF-8
2017-11-05 14:43:23,020 fail2ban.filter [7141]: INFO Added logfile = /var/log/auth.log
2017-11-05 14:43:23,021 fail2ban.actions [7141]: INFO Set banTime = 600
2017-11-05 14:43:23,021 fail2ban.filter [7141]: INFO Set findtime = 600
2017-11-05 14:43:23,022 fail2ban.filter [7141]: INFO Set maxlines = 10
2017-11-05 14:43:23,070 fail2ban.server [7141]: INFO Jail sshd is not a JournalFilter instance
2017-11-05 14:43:23,081 fail2ban.jail [7141]: INFO Jail 'sshd' started
2017-11-05 14:43:23,763 fail2ban.filter [7141]: INFO [sshd] Found 103.5.134.167
2017-11-05 14:43:23,763 fail2ban.filter [7141]: INFO [sshd] Found 103.5.134.167
2017-11-05 14:43:23,764 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170
2017-11-05 14:43:23,764 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170
2017-11-05 14:43:23,765 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170
2017-11-05 14:43:23,765 fail2ban.filter [7141]: INFO [sshd] Found 181.129.54.170
2017-11-05 15:19:06,192 fail2ban.server [7141]: INFO Stopping all jails
2017-11-05 15:19:06,874 fail2ban.jail [7141]: INFO Jail 'sshd' stopped
2017-11-05 15:19:06,879 fail2ban.server [7141]: INFO Exiting Fail2ban
2017-11-05 15:19:07,123 fail2ban.server [8528]: INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6
2017-11-05 15:19:07,123 fail2ban.database [8528]: INFO Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
2017-11-05 15:19:07,126 fail2ban.jail [8528]: INFO Creating new jail 'sshd'
2017-11-05 15:19:07,129 fail2ban.jail [8528]: INFO Jail 'sshd' uses poller {}
2017-11-05 15:19:07,141 fail2ban.jail [8528]: INFO Initiated 'polling' backend
2017-11-05 15:19:07,142 fail2ban.actions [8528]: INFO Set banTime = 60
2017-11-05 15:19:07,142 fail2ban.filter [8528]: INFO Set findtime = 60
2017-11-05 15:19:07,142 fail2ban.filter [8528]: INFO Set jail log file encoding to UTF-8
2017-11-05 15:19:07,143 fail2ban.filter [8528]: INFO Set maxRetry = 3
2017-11-05 15:19:07,144 fail2ban.filter [8528]: INFO Added logfile = /var/log/auth.log
2017-11-05 15:19:07,144 fail2ban.filter [8528]: INFO Set maxlines = 10
2017-11-05 15:19:07,189 fail2ban.server [8528]: INFO Jail sshd is not a JournalFilter instance
2017-11-05 15:19:07,195 fail2ban.jail [8528]: INFO Jail 'sshd' started
2017-11-05 15:20:03,263 fail2ban.filter [8528]: INFO [sshd] Found 103.5.134.167
2017-11-05 15:20:05,267 fail2ban.filter [8528]: INFO [sshd] Found 103.5.134.167
2017-11-05 15:20:12,276 fail2ban.filter [8528]: INFO [sshd] Found 103.5.134.167
2017-11-05 15:20:12,380 fail2ban.actions [8528]: NOTICE [sshd] Ban 103.5.134.167
2017-11-05 15:21:12,659 fail2ban.actions [8528]: NOTICE [sshd] Unban 103.5.134.167

要查看启用的监狱列表，请运行以下命令。

# fail2ban-client status
Status
|- Number of jail:  2
`- Jail list:   apache-auth, sshd

通过运行以下命令来获取禁止的 IP 地址。

# fail2ban-client status ssh
Status for the jail: ssh
|- filter
| |- File list: /var/log/auth.log
| |- Currently failed: 1
| `- Total failed: 3
`- action
 |- Currently banned: 1
 | `- IP list: 192.168.1.115
 `- Total banned: 1

要从 Fail2Ban 中删除禁止的 IP 地址，请运行以下命令。

# fail2ban-client set ssh unbanip 192.168.1.115

以上是如何使用 Fail2Ban 保护服务器免受暴力攻击的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文转载于：Linux就该这么学。如有侵权，请联系admin@php.cn删除

Linux和Windows之间的硬件兼容性有何不同？Apr 23, 2025 am 12:15 AM

Linux和Windows在硬件兼容性上不同：Windows有广泛的驱动程序支持，Linux依赖社区和厂商。解决Linux兼容性问题可通过手动编译驱动，如克隆RTL8188EU驱动仓库、编译和安装；Windows用户需管理驱动程序以优化性能。

Linux和Windows之间虚拟化支持有哪些差异？Apr 22, 2025 pm 06:09 PM

Linux和Windows在虚拟化支持上的主要区别在于：1)Linux提供KVM和Xen，性能和灵活性突出，适合高定制环境；2)Windows通过Hyper-V支持虚拟化，界面友好，与Microsoft生态系统紧密集成，适合依赖Microsoft软件的企业。

Linux系统管理员的主要任务是什么？Apr 19, 2025 am 12:23 AM

Linux系统管理员的主要任务包括系统监控与性能调优、用户管理、软件包管理、安全管理与备份、故障排查与解决、性能优化与最佳实践。1.使用top、htop等工具监控系统性能，并进行调优。2.通过useradd等命令管理用户账户和权限。3.利用apt、yum管理软件包，确保系统更新和安全。4.配置防火墙、监控日志、进行数据备份以确保系统安全。5.通过日志分析和工具使用进行故障排查和解决。6.优化内核参数和应用配置，遵循最佳实践提升系统性能和稳定性。

很难学习Linux吗？Apr 18, 2025 am 12:23 AM

学习Linux并不难。1.Linux是一个开源操作系统，基于Unix，广泛应用于服务器、嵌入式系统和个人电脑。2.理解文件系统和权限管理是关键，文件系统是层次化的，权限包括读、写和执行。3.包管理系统如apt和dnf使得软件管理方便。4.进程管理通过ps和top命令实现。5.从基本命令如mkdir、cd、touch和nano开始学习，再尝试高级用法如shell脚本和文本处理。6.常见错误如权限问题可以通过sudo和chmod解决。7.性能优化建议包括使用htop监控资源、清理不必要文件和使用sy

Linux管理员的薪水是多少？Apr 17, 2025 am 12:24 AM

Linux管理员的平均年薪在美国为75,000至95,000美元，欧洲为40,000至60,000欧元。提升薪资可以通过：1.持续学习新技术，如云计算和容器技术；2.积累项目经验并建立Portfolio；3.建立职业网络，拓展人脉。

Linux的主要目的是什么？Apr 16, 2025 am 12:19 AM

Linux的主要用途包括：1.服务器操作系统，2.嵌入式系统，3.桌面操作系统，4.开发和测试环境。Linux在这些领域表现出色，提供了稳定性、安全性和高效的开发工具。

互联网在Linux上运行吗？Apr 14, 2025 am 12:03 AM

互联网运行不依赖单一操作系统，但Linux在其中扮演重要角色。Linux广泛应用于服务器和网络设备，因其稳定性、安全性和可扩展性受欢迎。

Linux操作是什么？Apr 13, 2025 am 12:20 AM

Linux操作系统的核心是其命令行界面，通过命令行可以执行各种操作。1.文件和目录操作使用ls、cd、mkdir、rm等命令管理文件和目录。2.用户和权限管理通过useradd、passwd、chmod等命令确保系统安全和资源分配。3.进程管理使用ps、kill等命令监控和控制系统进程。4.网络操作包括ping、ifconfig、ssh等命令配置和管理网络连接。5.系统监控和维护通过top、df、du等命令了解系统运行状态和资源使用情况。

See all articles