Fail2Ban 是一款由Python开发的入侵防御软件, 可以保护服务器免受暴力破解的攻击. Fail2Ban可以扫描系统日志文件, 对异常登录过多的IP进行禁止. 自动更新防火墙规则(比如iptables), 在指定的时间内拒绝特定的IP地址的请求. 常用来防止暴力破解SSH.
安装 Fail2Ban
# 对于 Ubuntu, Debian
sudo apt install -y fail2ban
# 对于 CentOS, Fedora
sudo yum install -y epel-release
sudo yum install -y fail2ban
# 开启Fail2Ban服务
systemctl enable --now fail2ban
配置 Fail2Ban
Fail2Ban 默认的配置文件为 /etc/fail2ban/jail.conf
.
通过 cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
生成自定义规则.
常见参数:
- enabled – 表示是否开启监控服务
- port – 监控服务的端口号
- filter – 启用的日志过滤器, 引用位于 /etc/fail2ban/filter.d 目录中的文件
- logpath – 监控服务的日志文件路径
- maxretry – 最大失败重试次数(maxretry attempts)
- bantime – 禁止IP地址的持续时间(秒)
防止SSH暴力破解
编辑 /etc/fail2ban/jail.local, 内容为
[sshd]
enabled = true
# 当前ssh端口号
port = 22
filter = sshd
# Ubuntu/Debian
logpath = /var/log/auth.log
# CentOS
# logpath = /var/log/secure
maxretry = 3
bantime = 600
重启Fail2Ban systemctl restart fail2ban
, 使配置生效.
此时, 如果故意输错超过3次ssh密码, 会发现端口不能链接了, 要等10分钟才可重试.
其他相关命令
# 查看生成的iptables规则, `Chain f2b-sshd` 为 Fail2Ban 生成的规则
iptables -nL
# 查看 `sshd` 服务的状态
fail2ban-client status sshd
# 查看 Fail2Ban 日志
tail -n5 /var/log/fail2ban.log
# 手动删除 Ban IP 规则
fail2ban-client set sshd unbanip x.x.x.x
# 手动添加 Ban IP 规则
fail2ban-client set sshd banip x.x.x.x
结语
即使更改了ssh的默认端口, 也可以被扫到. SSH不要用默认的22端口, 不要用简单密码.
推荐开启密码登录的vps都配置上Fail2Ban, 用来自动封禁尝试暴力破解ssh的IP.
另外, 通过 tail -f /var/log/auth.log
可以看到ssh的登陆日志(如果这时有人在尝试登陆, 会看到信息一直在更新).