每个 IT 运营团队的首要任务是确保服务器安全，不受未经授权的用户或恶意脚本的侵害。您可以应用许多解决方案来抵御攻击和破坏，其中就包括 Fail2ban 软件方案。

Fail2ban 是一种开源的入侵检测措施，可以减轻针对各种服务(例如 SSH 和 VSFTPD)的暴力攻击。它提供了包括 SSH 在内的一系列过滤器，您可以自定义这些过滤器来更新防火墙规则，并阻止未经授权的 SSH 登录尝试。

fail2ban 监控服务器日志文件，监测其中的任何入侵尝试，并在预定义次数的失败尝试后，在指定的持续时间内阻止用户的 IP 地址。用户的 IP 被放置在一个 jail 中，可以在 /etc/fail2ban/jail.conf 配置文件中设置、启用或禁用该 jail。它有助于保护您的 Linux 服务器免受未经授权的访问，更具体地说，免受僵尸网络和恶意脚本的访问。

jail 由以下几个关键要素组成：

• 要分析的日志文件
• 要应用在日志文件上的过滤器
• 当过滤器匹配时要采取的操作
• 用于详细说明匹配类型的其他参数，例如：maxtry (最大尝试) 和 bantime (禁止时间) 等。

在本教程中，我们将引导您在 RHEL 8 / CentOS 8 上安装和配置 Fail2ban。

(1) 安装 EPEL 存储库

按如下方式安装 EPEL (Extra Package for Enterprise Linux) 包

For CentOS 8

$ sudo dnf install -y epel-release

For RHEL 8

$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm -y

(2) 安装 Fail2ban

要安装 Fail2ban，请运行下面的命令

$ sudo dnf install -y fail2ban

(3) 配置 Fail2ban

按照设计，fail2ban 将解析日志文件，并尝试匹配过滤器中指定的 failregex。过滤器会挑选出特定服务失败的身份验证尝试，例如，使用正则表达式 regex 匹配出 SSH 登录尝试。当日志条目中的最大次数达到最大值时，将触发一个动作。

默认情况下，发生 3 次身份验证失败后，用户将被禁止或被关进“jail”10 分钟。这些参数可以很容易地在 /etc/fail2ban/jail.conf 文件中配置，该文件是全局配置文件。
所有重要的配置文件都位于/etc/fail2ban/目录下。

过滤器存放在 /etc/fail2ban/filter.d 目录下。有几十种过滤器用于各种服务，包括 SSH、Webmin、postfix 等等。

/etc/fail2ban/jail.conf 是主配置文件。不建议直接修改此文件，配置很可能会在以后的分发更新中被覆盖或改进。

解决方法是在 /etc/fail2ban/jail.d 目录中创建一个监狱.local 文件，并为要保护的所需服务添加自定义配置。

出于演示目的，我们将创建一个用于保护 SSH 连接的 jail 文件。

$ sudo vim /etc/fail2ban/jail.local

下面是示例配置文件内容：

[DEFAULT]
ignoreip = 192.168.2.105
bantime  = 86400
findtime  = 300
maxretry = 3
banaction = iptables-multiport
backend = systemd
[sshd]
enabled = true

让我们分解这些参数，看看它们代表什么。

• ignoreip – 定义不禁止的 IP 地址或域名列表
• bantime – 顾名思义，这指定以秒为单位禁止远程主机的持续时间
• maxretry – 这是主机被阻止/禁止之前失败的登录尝试次数
• findtime – maxtry 尝试后主机将被阻塞的持续时间（秒）
• banaction –禁止的动作
• backend – 用于获取日志文件的系统

我们的配置包含以下内容：

当一个 IP 地址在最近 5 分钟内有 3 次认证失败的记录时，该 IP 地址将被禁止 24 小时 (IP 为 192.168.2.105 的主机除外)

保存并退出配置文件。

(4) 开启 Fail2ban

配置好 SSH 的 jail 文件后，我们将启动并在系统启动时启用 fail2ban。

$ sudo systemctl start fail2ban
$ sudo systemctl enable fail2ban

要确认 fail2ban 的状态，执行下面的命令

$ sudo systemctl status fail2ban

我们可以观察到 fail2ban 按预期运行

现在我们继续，看看 Fail2ban 是如何工作的。

(4) Fail2ban 实战演练

现在让我们更进一步，看看 Fail2ban 的实战演练。为了监视被禁止的 IP 地址，fail2ban-client 实用程序派上了用场。例如，要获取 ssh jail 的状态，可以使用该命令

$ sudo fail2ban-client status sshd

目前，还没有禁止的 IP 条目，因为我们还没有远程登录到服务器。

我们将使用 putty SSH 客户端从一台 Windows PC 上登录，IP 与 jail.local 中指定的 IP 不同。

从输出中，我们可以清楚地看到我们无法访问服务器。当我们再次检查状态时，我们发现一个 IP 已经被禁止，如图所示。

如果需要将 IP 从禁用列表中删除，请执行以下操作解除禁用。

$ sudo fail2ban-client unban 192.168.2.101

要查看关于 fail2ban 规则和策略的更多信息，请访问 jail.conf 手册页

$ man jail.conf

我的开源项目

• course-tencent-cloud（酷瓜云课堂 - gitee 仓库）
• course-tencent-cloud（酷瓜云课堂 - github 仓库）