跳至主要內容

阻止密码爆破

ycxom2024年11月17日大约 3 分钟

Fail2Ban 是一个用于防止暴力破解攻击的工具,它通过监控系统日志文件,检测不正常的登录尝试并动态地更新防火墙规则来阻止恶意 IP 地址。以下是 Fail2Ban 的基本使用说明和常用命令。

1. 安装 Fail2Ban

在大多数 Linux 发行版中,你可以通过包管理器安装 fail2ban

  • Debian/Ubuntu:

    sudo apt update
sudo apt install fail2ban

  • CentOS/RHEL:

    sudo yum install epel-release
sudo yum install fail2ban

  • Fedora:

    sudo dnf install fail2ban

2. Fail2Ban 服务状态

安装后,可以通过以下命令查看 Fail2Ban 服务的状态:

sudo systemctl status fail2ban

如果它未启动,可以通过以下命令启动服务:

sudo systemctl start fail2ban

若要确保每次启动时自动启动 Fail2Ban,运行:

sudo systemctl enable fail2ban

3. 基本配置文件

Fail2Ban 的主要配置文件位于 /etc/fail2ban/ 目录下。常见的配置文件包括:

  • /etc/fail2ban/fail2ban.conf: 全局配置文件。
  • /etc/fail2ban/jail.conf: 定义了监控服务(如 SSH)的“监狱”(jail)配置文件。
  • /etc/fail2ban/jail.d/: 存放额外的 jail 配置。

配置步骤

  1. 复制 jail.confjail.local:为了避免在更新时丢失配置,最好编辑 jail.local 文件(jail.conf 会在更新时被覆盖)。

    sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

  2. 修改配置文件: 在 /etc/fail2ban/jail.local 文件中,你可以设置不同服务的监控规则。例如,启用 SSH 保护:

    [sshd]
enabled = true
port    = ssh
logpath = /var/log/auth.log
maxretry = 3
bantime  = 600
findtime = 600

    说明:

    • enabled:设置为 true 启用对应的服务监控。
    • port:监听的端口(默认 SSH 为 22,也可以是其他端口)。
    • logpath:日志文件的路径,Fail2Ban 会分析这些日志。
    • maxretry:允许的最大登录尝试次数。
    • bantime:被禁止的时间(单位:秒)。
    • findtime:统计失败尝试的时间范围(单位:秒)。

4. 常用 Fail2Ban 命令

查看 Fail2Ban 状态

查看 Fail2Ban 的总体状态,包含各 jail 的运行情况:

sudo fail2ban-client status

查看具体 jail 的状态(例如查看 SSH 服务的状态):

sudo fail2ban-client status sshd

查看被禁止的 IP 地址

查看当前被禁止的 IP 地址:

sudo fail2ban-client status sshd

输出会列出被禁止的 IP 地址和相关的信息。

解除 IP 地址的封禁

解除某个 IP 地址的封禁(例如 IP 地址 192.168.1.100):

sudo fail2ban-client set sshd unbanip 192.168.1.100

手动禁止 IP 地址

手动将某个 IP 地址加入封禁列表:

sudo fail2ban-client set sshd banip 192.168.1.100

重启 Fail2Ban 服务

如果你修改了配置文件,通常需要重启 Fail2Ban 使更改生效:

sudo systemctl restart fail2ban

临时停止 Fail2Ban 服务

如果需要暂时停止 Fail2Ban 服务:

sudo systemctl stop fail2ban

查看日志

Fail2Ban 会将所有事件记录到日志文件中。可以查看 /var/log/fail2ban.log 以了解封禁的详细信息:

sudo tail -f /var/log/fail2ban.log

5. 高级配置

Fail2Ban 还支持更多的高级配置选项,例如:

  • 自定义过滤器:你可以创建自己的过滤器文件来监控自定义服务。
  • 邮件通知:可以设置在 IP 被封禁时通过邮件通知管理员。
  • 使用其他防火墙工具:如 iptables, firewalldufwFail2Ban 会自动与这些工具配合,动态更新防火墙规则。

6. 常见问题和解决方案

  • Fail2Ban 禁止了错误的 IP 地址: 检查 jail.localjail.conf 配置中的 findtimemaxretry 设置,调整适合你环境的阈值。

  • 配置未生效: 如果你修改了配置文件,请确保保存并重新启动 Fail2Ban 服务。

  • 日志太多: 配置文件中可以设置 loglevellogtarget 来调整日志记录的详细程度和日志输出位置。

小结

Fail2Ban 是一个非常有用的工具,可以通过配置监控日志文件并自动阻止恶意 IP 地址。通过调整 jail.local 文件中的配置,你可以灵活地保护你的系统免受暴力破解攻击。

默认页脚
Copyright © 2025 ycxom