Fail2Ban 是一款由 Python 开发的 VPS 云服务器入侵防御软件，用来保护服务器免受暴力破解的攻击，可以监视系统日志，然后匹配日志的错误信息（正则式匹配）执行相应的屏蔽动作，用来自动封禁尝试暴力破解 SSH 的 IP，对异常登录过多的IP进行禁止，自动更新防火墙规则(比如iptables)，在指定的时间内拒绝特定的IP地址的请求，常用来防止暴力破解SSH。推荐开启密码登录的 VPS 都要配置上 Fail2Ban。

安装 Fail2Ban

对于 Ubuntu, Debiansudo aptinstall-y fail2ban对于 CentOS, Fedorasudo yuminstall-y epel-releasesudo yuminstall-y fail2ban systemctlenable--now fail2ban

配置 Fail2Ban

Fail2Ban 默认的配置文件为 /etc/fail2ban/jail.conf.，通过 cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local 生成自定义规则。

常见参数:

enabled – 表示服务是否开启port – 服务的端口号filter – 启用的日志过滤器, 引用位于 /etc/fail2ban/filter.d 目录中的文件logpath – 服务的日志文件路径maxretry – 最大失败重试次数(maxretry attempts)bantime – 禁止IP地址的持续时间(秒)

防止SSH暴力破解

编辑 /etc/fail2ban/jail.local，内容为

[sshd]enabled=trueport=22当前ssh端口号filter= sshdlogpath= /var/log/auth.logUbuntu/Debianlogpath = /var/log/secure CentOSmaxretry=3bantime=600

重启Fail2Ban systemctl restart fail2ban，使配置生效。如果故意输错超过3次 SSH 密码，端口不能链接，要等10分钟才可重试。

其他相关命令

查看生成的iptables规则, `Chain f2b-sshd` 为 Fail2Ban 生成的规则iptables -nL查看 `sshd` 服务的状态fail2ban-client status sshd查看 Fail2Ban 日志tail -n5 /var/log/fail2ban.log手动删除 Ban IP 规则fail2ban-clientsetsshd unbanip x.x.x.x手动添加 Ban IP 规则fail2ban-clientsetsshd banip x.x.x.x

即使更改了 SSH 默认端口，也可以被扫到，SSH 不要用默认的22端口，也不要用简单密码。通过 tail -f /var/log/auth.log 可以看到 SSH 的登陆日志，如果这时有人尝试登陆，会看到信息一直在更新。Fail2Ban 能够降低错误认证尝试的速度，但是它不能消除弱认证带来的风险，只是服务器防止暴力攻击的安全手段之一。