在上篇服务器被黑的文章中，有小伙伴在评论区评论了fail2ban这个工具，我到网上搜索使用了下，在这里交个试用作业。

fail2ban简介

以下内容翻译自官网:

Fail2ban扫描日志文件（例如/var/log/apache/error_log）并禁止具有危险信号的IP - 密码失败太多，寻找漏洞等等。通常，Fail2Ban用于更新防火墙规则以拒绝指定失败次数的IP地址，也可以配置任何其他任意行动（例如发送电子邮件）。 开箱即用的Fail2Ban带有各种服务的过滤器（apache，courier，ssh等）。 Fail2Ban能够降低不正确的身份验证尝试的速度，但是它无法消除弱身份验证所带来的风险。 如果您真的想要保护服务，请将服务配置为仅使用两个因素或公共/私有身份验证机制。

安装fail2ban

# yum install fail2ban

为服务器配置fail2ban

官网给出的建议是：不要直接修改.conf文件，而是新建一个.local文件，这些.local文件中的修改会覆盖.conf文件中内容。

# cd /etc/fail2ban

# cp jail.conf jail.local

# cp fail2ban.conf fail2ban.local

• 修改fail2ban.local文件

默认fail2ban的日志是写到SYSLOG中(/var/log/messages)的,这里改成推荐的/var/log/fail2ban.log

将 logtarget = SYSLOG 改为 logtarget = /var/log/fail2ban.log

• 修改jail.local文件

以下是个配置示例文件，可根据需要进行修改

[DEFAULT]

# 以空格分隔的列表，可以是 IP 地址、CIDR 前缀或者 DNS 主机名

# 用于指定哪些地址可以忽略 fail2ban 防御

ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24 192.168.0.0/24

# 客户端主机被禁止的时长（秒）

bantime = 86400

# 客户端主机被禁止前允许失败的次数

maxretry = 5

# 查找失败次数的时长(秒),在指定的10分钟内登录超过maxretry次数,它们将被禁止

findtime = 600

mta = sendmail

[ssh-iptables]

enabled = true

# 过滤器,默认设置为sshd,sshd引用/etc/fail2ban/filter.d/sshd.conf

filter = sshd

# 动作,将采取禁止匹配的IP的步骤. 每个操作都指向action.d目录(/etc/fail2ban/action.d/iptables.conf)的一个文件

action = iptables[name=SSH, port=ssh, protocol=tcp]

# 如果服务器设置了邮件服务器,可在禁止IP时发送邮件.默认引用/etc/fail2ban/action.d/sendmail-whois.conf的操作

# sendmail-whois[name=SSH, dest=your@email.com, sender=fail2ban@email.com]

# Debian 系的发行版

logpath = /var/log/auth.log

# Red Hat 系的发行版

logpath = /var/log/secure

# ssh 服务的最大尝试次数

maxretry = 3

启动fail2ban服务

service fail2ban start

停止服务: service fail2ban stop

验证是否启动成功

为验证fail2ban是否成功运行,使用参数ping来运行fail2ban-client命令.如果fail2ban服务正常运行,可以看到pong的响应

# fail2ban-client ping

Server replied: pong

查看效果

没过多久，就抓到那么多IP，全部放到“监狱”

fail2ban-client status ssh-iptables

查看fail2ban的日志

cat /var/log/fail2ban.log

再来看看secure日志，fail2ban很幽默的说了句：Thank you for playing~

tail -100f /var/log/secure

其他

fail2ban只能缓解暴力密码攻击，但并不能保护SSH服务器避免来自分布式暴力破解组织，攻击者可通过使用成千上万个机器控制的IP地址来绕过fail2ban的防御机制，不知道有什么更好的办法可以进行服务器防护，还请指点。