目录

1. Fail2Ban 简介
2. Fail2Ban 安装配置与日常维护
3. Fail2Ban 目录结构
4. jail.conf 配置项说明
5. sshd.local 自定义配置项
6. mail-whois.conf 自定义动作

1. Fail2Ban 简介

Fail2Ban 是一款入侵防御软件，可以保护服务器免受暴力攻击。 它是用 Python 编程语言编写的。

Fail2Ban 基于auth 日志文件工作，默认情况下它会扫描所有 auth 日志文件，如 /var/log/auth.log、
/var/log/apache/access.log 等，并禁止带有恶意标志的IP，比如密码失败太多，寻找漏洞等等标志。

通常，Fail2Ban 用于更新防火墙规则，用于在指定的时间内拒绝 IP 地址。 它也会发送邮件通知。

Fail2Ban 为各种服务提供了许多过滤器，如 ssh、apache、nginx、squid、named、mysql、nagios 等。

Fail2Ban 能够降低错误认证尝试的速度，但是它不能消除弱认证带来的风险。

这只是服务器防止暴力攻击的安全手段之一。
返回目录

2. Fail2Ban 安装配置与日常维护

# yum install fail2ban                               ## 安装

以下配置实现：阻止 SSH 远程暴力攻击并通过 mail 通知管理员

# cat /etc/fail2ban/jail.conf                        ## 根据指引，修改配置应在 jail.d/ 下新建文件进行# vim /etc/fail2ban/jail.d/sshd.local               ## 修改配置# cd /etc/fail2ban/jail.d
# mv 00-firewalld.conf 00-firewalld.conf.disabled   ## 禁用 firewalld，使用 iptables# vim /etc/fail2ban/action.d/mail-whois.conf      ## 定义 action# fail2ban-client reload                            ## 让配置生效

日常维护：

# systemctl enable fail2ban.service                  ## 开机启动
# systemctl start fail2ban.service                  ## 启动服务# cat /var/log/fail2ban.log                          ## 日志文件# fail2ban-client status                         ## 查看 fail2ban 的运行状态# fail2ban-client status sshd                       ## 查看 jail 的详细信息，可以看到被封的 ip# fail2ban-client set sshd unbanip 123.123.123.2  ## 解封 ip

返回目录

3. Fail2Ban 目录结构

/etc/fail2ban/├── action.d
│       ├── dummy.conf
│       ├── hostsdeny.conf
│       ├── iptables.conf
│       ├── mail-whois.conf      ## mail 动作配置
│       ├── mail.conf
│       └── shorewall.conf
├── fail2ban.conf
├── fail2ban.local
├── filter.d
│       ├── apache-auth.conf
│       ├── apache-noscript.conf
│       ├── couriersmtp.conf
│       ├── postfix.conf
│       ├── proftpd.conf
│       ├── qmail.conf
│       ├── sasl.conf
│       ├── sshd.conf
│       └── vsftpd.conf
├── jail.conf
├── jail.local
└─  jail.d└── sshd.local           ## SSH 相关配置

返回目录

4. jail.conf 配置项说明

# cat /etc/fail2ban/jail.conf1 #2 # WARNING: heavily refactored in 0.9.0 release.  Please review and3 #          customize settings for your setup.4 #5 # Changes:  in most of the cases you should not modify this6 #           file, but provide customizations in jail.local file,7 #           or separate .conf files under jail.d/ directory, e.g.:8 #9 # HOW TO ACTIVATE JAILS:10 #11 # YOU SHOULD NOT MODIFY THIS FILE.12 #13 # It will probably be overwritten or improved in a distribution update.14 #15 # Provide customizations in a jail.local file or a jail.d/customisation.local.16 # For example to change the default bantime for all jails and to enable the17 # ssh-iptables jail the following (uncommented) would appear in the .local file.18 # See man 5 jail.conf for details.19 #20 # [DEFAULT]21 # bantime = 1h22 #23 # [sshd]24 # enabled = true25 #26 # See jail.conf(5) man page for more information[DEFAULT ]ignorecommand =bantime = 10m                               ## 禁止时长，默认10分钟findtime = 10m                                ## 执行操作的窗口时长，默认10分钟maxretry =5                              ## 最大尝试次数backend = auto                                ## 指定用于获取文件修改的后端usedns = warn                              ## logencoding = autoenabled = false                          ## jails 默认关闭，在自定义的 .local 中打开需要用到的项mode = normal                               ## 过滤器类型filter = %( name )s [mode=%(mode)s ]      ## 定义过滤器destemail =root@localhost                 ## 通知将被发送到的电子邮件地址sender = root@                               ## 发件人姓名mta =sendmail                              ## 邮件传输代理（默认是 sendmail，可以改成 mail）protocol = tcpchain = <known/chain>port = 0:65535fail2ban_agent = Fail2Ban/%(fail2ban_version)sbanaction = iptables-multiport              ## 动作的捷径，用于定义动作参数banaction_allports = iptables-allportsaction_abuseipdb =abuseipdb......action = %(action_)s

返回目录

5. sshd.local 自定义配置项

# vim /etc/fail2ban/jail.d/sshd.local3 [DEFAULT]4 5 ignoreip = 127.0.0.1/8             ## 忽略本地 IP6 7 bantime = 300                      ## IP 禁止访问时间8 9 findtime = 60                      ## 密码输入时间限制10 11 maxretry = 5                       ## 最大允许试错次数12 13 backend = auto14 15 destemail = 123456@qq.com          ## 邮件接收地址16 17 sender = 654321@163.com            ## 邮件发送地址（必需配置）18 19 mta = mail                         ## 采用 mail 邮件服务22 23 action = %(action_mw)s             ## 动作模式 action_mw2425 26 [sshd]27 28 enabled = true                     ## 开启 SSH 保护29 30 port = 7777                        ## SSH 端口号

返回目录

6. mail-whois.conf 自定义动作

# vim /etc/fail2ban/action.d/mail-whois.conf1 # Fail2Ban configuration file2 #3 # Author: xiaobo4 #5 #67 [INCLUDES]89 before = mail-whois-common.conf1011 [Definition]1213 # Option: actionban14 # Notes:  command executed when banning an IP. Take care that the 15 #         command is executed with Fail2Ban user rights.16 # Tags:   See jail.conf(5) man page17 # Values: CMD18 actionban = printf %%b "Hi:\n19             Subject: [Fail2Ban] <name>: banned <ip> from <fq-hostname>20             攻击者IP：<ip>\n位置：`/usr/bin/curl -s http://www.cip.cc/<ip> | sed -n 2p | awk -F ': ' '{print $2}' `\n21             被攻击机器名：`uname -n` \n22             攻击次数：<failures> 次 \n27             Fail2Ban提醒\n\n "|/usr/bin/mail -s "title" <dest>2829 [Init]3031 name = default3233 dest = root

参考链接-Fail2Ban 官方用户手册

返回目录

Fail2Ban 简介与使用相关推荐

1. centos下fail2ban安装与配置详解

   一.fail2ban简介 fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员,是不是很好.很实用 ...

2. ubuntu使用fail2ban_「干货分享」手把手教你如何使用Fail2Ban保护Linux服务器

   导语:解决问题肯定是越简单越好,而Fail2Ban就是解决棘手问题的一种优雅的解决方案,它只需很少的配置,几乎不会给您或您的计算机带来任何操作开销. 使用Fail2Ban,您的Linux计算机会自动阻 ...

3. Fail2ban的安装和使用

   Fail2ban的安装和使用 1. 简介 CentOS 中使用fail2ban和firewalld限制IP拦截cc攻击 2. 安装和启动 • 安装 $ yum -y install fail2ban ...

4. ssh 和 fail2ban 的安全设置

   选择 Debian-8 作为 vps 的操作系统,配置好 ssh 以及安全环境必不可少.选择 fail2ban 软件,通过扫描 log 文件发现恶意攻击者并自动 drop 流量同时通知管理员. ssh ...

5. fail2ban防暴力破解

   前言 使用fail2ban防暴力破解. 简介 fail2ban的工作原理是监听linux的工作日志,找到有问题的IP地址,再使用iptables规则禁用. 安装fail2ban 1.fail2ban功 ...

6. etcd 笔记（01）— etcd 简介、特点、应用场景、常用术语、分布式 CAP 理论、分布式原理

   1. etcd 简介 etcd 官网定义: A highly-available key value store for shared configuration and service discov ...

7. Docker学习(一)-----Docker简介与安装

   一.Docker介绍 1.1什么是docker Docker是一个开源的应用容器引擎,基于Go语言并遵从Apache2.0协议开源 Docker可以让开发者打包他们的应用以及依赖包到一个轻量级,可移植 ...

8. 【Spring】框架简介

   [Spring]框架简介 Spring是什么 Spring是分层的Java SE/EE应用full-stack轻量级开源框架,以IOC(Inverse Of Control:反转控制)和AOP(Asp ...

9. TensorRT简介

   TensorRT 介绍 引用:https://arleyzhang.github.io/articles/7f4b25ce/ 1 简介 TensorRT是一个高性能的深度学习推理(Inference) ...

最新文章

1. 《Ajax实战》三部曲之“王者归来”
2. maven deploy jar包到远程仓库400
3. Spring的事务管理难点剖析:应用分层的迷惑
4. 大学加权平均分计算器_英国排名前20的大学GPA要求
5. JVM内存管理机制和垃圾回收机制
6. seaborn 子图_Seaborn FacetGrid：进一步完善子图
7. 成长有三方面，其中最重要的是
8. pythonide的作用_你知道Python神器IDE是什么吗？
9. 电阻的快速选型对开发项目非常重要
10. MATLAB点云重采样,PCL点云曲面重采样三种方法：上采样，下采样，均匀采样
11. 软件工程学习笔记—————传统模型、面向对象模型的比较
12. C语言入门-绝对值（abs）
13. html一键生成海报,微海报在线制作一键生成方法
14. 架构师之路读书会 | 15分钟一本，让我为你精读100本好书，快来加入吧！
15. TKK: 更新 TKK 失败，请检查网络连接（亲测有效）
16. 【python实验二】
17. 计算机毕业设计Java企业员工考勤系统的设计与实现(源码+系统+mysql数据库+lw文档）
18. 哈佛计算机系小哥哥中文字幕,哈佛小哥哥公开日常作息表，引1000w网友围观：比我努力的人，睡得比我还多...
19. 开源智造Odoo免费开源ERP大型钢材贸易供应链案例分享
20. vivado 编辑界面配色配置

热门文章

1. 基于MATLAB实现进制数转换
2. 仿照QQ的左右滑动切换界面的效果
3. 新时代区块链研究院 | 区块链人才需求激增200%，薪资已赶超互联网！
4. CSS标准盒模型和怪异盒模型区别
5. Linux 网卡驱动的安装
6. IT项目管理学习笔记（一）
7. 纯CSS 红砖背景墙
8. 云效触发Jenkins自动构建
9. 21级蓝桥选拔赛（1）
10. checkbox获取勾选状态_jQuery判断checkbox选中状态