一、什么是fail2ban？

fail2ban是一款开源的安全工具，通过监控系统日志文件（如/var/log/auth.log）来检测恶意行为。当检测到多次失败的登录尝试时，fail2ban会自动修改防火墙规则，在一定时间内禁止该IP地址的访问。

二、安装fail2ban

在大多数Linux发行版上，安装fail2ban非常简单：

# 对于Debian/Ubuntu系统
sudo apt update
sudo apt install fail2ban

# 对于CentOS/RHEL系统
sudo yum install epel-release
sudo yum install fail2ban

三、基础配置

fail2ban的主要配置文件位于/etc/fail2ban/目录下：

• fail2ban.conf – 主配置文件
• jail.conf – 监狱规则配置文件

建议不要直接修改这些文件，而是创建.local文件进行覆盖：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

四、配置SSH防护

编辑jail.local文件，找到[sshd]部分：

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
findtime = 600

这些参数表示：

• maxretry=3：允许3次失败尝试
• bantime=3600：禁止1小时
• findtime=600：在10分钟内统计失败次数

五、自定义过滤规则

如果需要监控其他服务，可以创建自定义过滤器。例如保护Nginx：

[nginx-badbots]
enabled = true
port = http,https
filter = nginx-badbots
logpath = /var/log/nginx/access.log
maxretry = 2
bantime = 86400

六、管理fail2ban服务

常用命令：

# 启动服务
sudo systemctl start fail2ban

# 设置开机启动
sudo systemctl enable fail2ban

# 查看状态
sudo fail2ban-client status

# 查看特定监狱状态
sudo fail2ban-client status sshd

七、测试配置

故意输入错误密码多次，然后检查是否被禁止：

sudo fail2ban-client status sshd

八、高级配置建议

• 使用邮件通知功能
• 配置白名单IP
• 设置更长的禁止时间
• 定期检查fail2ban日志

九、注意事项

1. 确保不会错误地禁止自己的IP
2. 定期更新fail2ban规则
3. 监控fail2ban的运行状态
4. 结合其他安全措施使用