每天掌握一个Linux命令 - fail2ban

发布于:2025-06-01 ⋅ 阅读:(26) ⋅ 点赞:(0)

Linux 命令工具 fail2ban 使用指南

目录

一、工具概述

fail2ban 是一款基于 Python 的 Linux 安全工具,主要用于监控系统日志文件,通过分析日志中的失败登录尝试(如 SSH、FTP、Web 服务等),自动封禁频繁尝试登录的 IP 地址,从而有效抵御暴力破解攻击。其核心原理是通过正则表达式匹配日志中的失败记录,结合预设的过滤规则和动作(如调用 iptables 防火墙封禁 IP),实现自动化的安全防护。

二、安装方式

1. 包管理器安装(推荐)

Debian/Ubuntu 系统
sudo apt update
sudo apt install fail2ban
CentOS/RHEL 系统
sudo yum install epel-release  # 若未安装 EPEL 源
sudo yum install fail2ban
Arch Linux 系统
sudo pacman -S fail2ban

2. 手动编译安装(适用于自定义需求)

wget https://github.com/fail2ban/fail2ban/archive/refs/tags/v1.0.0.tar.gz  # 替换为最新版本号
tar -zxvf v1.0.0.tar.gz
cd fail2ban-1.0.0
sudo python3 setup.py install

三、核心功能

功能模块 说明
日志监控 实时扫描指定日志文件(如 /var/log/sshd.log),匹配失败登录模式。
过滤规则 通过正则表达式定义失败登录的匹配规则,支持自定义规则文件(.filter)。
动作执行 触发封禁动作(如调用 iptablesfirewalld 或发送邮件报警),支持自定义动作(.action)。
封禁管理 支持设置封禁时间(bantime)、最大失败次数(maxretry)和检测间隔(findtime)。
多服务支持 内置常见服务(SSH、HTTP、FTP 等)的默认规则,可快速启用防护。

四、基础用法

1. 配置文件结构

/etc/fail2ban/
├── fail2ban.conf       # 全局配置(一般不修改)
├── jail.conf          # 服务配置模板(修改此文件或创建自定义文件)
├── jail.d/            # 自定义服务配置目录(优先级高于 jail.conf)
├── filters.d/         # 过滤规则目录
└── actions.d/         # 动作定义目录

2. 启用 SSH 防护(示例)

步骤 1:编辑服务配置
sudo nano /etc/fail2ban/jail.conf

[sshd] 部分取消注释并配置参数:

[sshd]
enabled = true          # 启用服务
port    = ssh           # 监控端口(默认 22)
filter  = sshd          # 使用内置过滤规则
logpath = /var/log/sshd.log  # 日志路径
maxretry = 3            # 最大失败次数
bantime  = 3600         # 封禁时间(秒,默认 10 分钟)
findtime = 600          # 检测时间窗口(秒,默认 10 分钟内)
步骤 2:启动服务
sudo systemctl start fail2ban
sudo systemctl enable fail2ban  # 开机自启
步骤 3:验证状态
sudo fail2ban-client status sshd  # 查看 SSH 服务防护状态
sudo fail2ban-client banned        # 查看当前封禁的 IP 列表

五、进阶操作

1. 自定义过滤规则

场景:防护 Web 服务(Nginx 恶意请求)
  1. 创建过滤规则文件 /etc/fail2ban/filters.d/nginx-malicious.conf
[Definition]
failregex = ^<HOST> - .* "(GET|POST) /(admin|login|api) HTTP/1.1" 403
ignoreregex =  # 可选:忽略特定模式

2. 自定义动作(邮件报警)

  1. 修改动作文件 /etc/fail2ban/actions.d/mail-action.conf
[Definition]
actionstart = sendmail -t <<EOF
From: fail2ban <alert@example.com>
To: admin@example.com
Subject: fail2ban started

Service: <service>
EOF

actionban = sendmail -t <<EOF
From: fail2ban <alert@example.com>
To: admin@example.com
Subject: [Banned] <ip> tried to attack <service>

IP: <ip>
Service: <service>
Time: < bantime >
EOF

3. 多服务批量配置

jail.conf 中添加通用配置:

[DEFAULT]
bantime = 28800  # 全局封禁时间(8 小时)
findtime = 3600  # 全局检测窗口(1 小时)

[ssh]
enabled = true
port = 22,2222   # 监控多个端口

[ftp]
enabled = true
port = ftp,ftps
logpath = /var/log/xferlog

六、实战案例:防护 WordPress 登录暴力破解

步骤 1:配置 WordPress 日志

确保 WordPress 启用调试日志(在 wp-config.php 中添加):

define('WP_DEBUG', true);
define('WP_DEBUG_LOG', true);

步骤 2:创建过滤规则 /etc/fail2ban/filters.d/wordpress.conf

[Definition]
failregex = ^.*POST /wp-login.php.*(Invalid username|The password you entered for the username).*IP: <HOST>
ignoreregex =

步骤 3:配置服务规则 jail.d/wordpress.conf

[wordpress]
enabled = true
port = http,https
filter = wordpress
logpath = /var/www/wordpress/wp-content/debug.log
maxretry = 5
bantime = 43200  # 封禁 12 小时

步骤 4:重启服务使配置生效

sudo systemctl restart fail2ban

案例二:防护 SSHD 服务暴力破解

假设服务器近期频繁遭受 SSHD 服务的暴力破解尝试,导致系统负载升高,为保障服务器安全,利用 fail2ban 进行防护。

步骤 1:检查和调整默认配置

一般情况下,fail2ban 安装后对 SSHD 服务有默认配置,但可能需根据实际情况调整。打开 /etc/fail2ban/jail.conf/etc/fail2ban/jail.d/sshd.conf(若存在)文件。

sudo nano /etc/fail2ban/jail.d/sshd.conf

确认或修改以下关键参数:

\[sshd]


enabled = true&#x20;


port = ssh&#x20;


filter = sshd&#x20;


logpath = /var/log/sshd.log&#x20;


maxretry = 3&#x20;


bantime = 3600&#x20;


findtime = 600&#x20;

这里将 maxretry 设置为 3,表示 600 秒(findtime)内,若同一 IP 地址登录失败超过 3 次,该 IP 将被封禁 3600 秒(bantime)。

步骤 2:重启 fail2ban 服务

配置完成后,重启 fail2ban 服务使新配置生效。

sudo systemctl restart fail2ban

步骤 3:验证防护效果

使用另一台主机模拟错误的 SSH 登录尝试,故意输入错误密码多次。随后,通过以下命令查看 SSHD 服务的 fail2ban 状态:

sudo fail2ban-client status sshd

若配置生效,可看到 Currently failed(当前失败次数)和 Total failed(总失败次数)增加,当达到 maxretry 设定值后,该 IP 会被封禁,Currently banned(当前封禁数)和 Banned IP list(封禁 IP 列表)中会出现对应信息。若需解除对某个 IP 的封禁,可使用以下命令:

sudo fail2ban-client set sshd unbanip \<ip\_address>

<ip_address> 替换为实际被封禁的 IP 地址。通过上述配置和操作,可有效利用 fail2ban 防护 SSHD 服务,抵御暴力破解攻击,保障服务器安全。

七、注意事项

  1. 误封处理

    • 使用 sudo fail2ban-client set sshd unbanip <ip> 解封指定 IP。
    • 添加白名单:在 jail.conf 中配置 ignoreip = 192.168.1.0/24 10.0.0.0/8(允许内网 IP)。

  2. 性能优化

    • 避免监控过大的日志文件,可通过 logrotate 定期切割日志。
    • 减少正则表达式复杂度,避免过度消耗 CPU 资源。

  3. 规则测试

    • 使用 fail2ban-regex <logfile> <filterfile> 验证规则匹配效果:
      fail2ban-regex /var/log/sshd.log /etc/fail2ban/filters.d/sshd.conf

  4. 防火墙依赖

    • 确保 iptablesfirewalld 已启用,且 fail2ban 有权限操作防火墙。
    • 若使用 firewalld,需在动作中指定 action = firewallcmd-ipset

  5. 日志权限

    • 确保 fail2ban 服务用户(默认 fail2ban)有读取日志文件的权限。

通过合理配置 fail2ban,可显著提升系统抵御暴力破解的能力,同时结合定期审计封禁日志和优化过滤规则,能进一步增强安全防护的准确性和有效性。

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布