fail2ban可有效防御SSH暴力破解,通过安装配置该工具并设置jail.local规则,结合邮件告警与防火墙集成,实现自动封禁异常IP。
如果您发现服务器日志中存在大量异常登录尝试,例如SSH服务频繁收到错误密码请求,则可能是有人正在对您的系统进行暴力破解攻击。fail2ban 是一款能够监控日志并自动封禁可疑IP地址的自动化工具,可有效缓解此类安全威胁。以下是配置 fail2ban 的具体步骤。
本文运行环境:Dell PowerEdge R750,Ubuntu 22.04
一、安装 fail2ban 工具
fail2ban 并未默认集成在大多数 Linux 发行版中,需通过包管理器手动安装。安装完成后将获得基础配置文件和系统服务支持。
1、打开终端并执行以下命令更新软件包索引:sudo apt update。
2、安装 fail2ban 软件包:sudo apt install fail2ban -y。
3、安装完毕后,fail2ban 会自动生成配置目录并启用默认防护规则。
二、创建本地化配置文件
直接修改主配置文件可能导致升级时被覆盖,因此应使用 .local 文件来覆盖默认设置。fail2ban 优先读取 jailing.local 配置。
1、复制默认配置模板为本地配置:sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local。
2、使用文本编辑器打开新创建的本地文件:sudo nano /etc/fail2ban/jail.local。
3、在此文件中可以针对不同服务定义独立的封锁策略。
三、配置 SSH 暴力破解防护
SSH 是最常见的攻击入口,启用 fail2ban 对 sshd 日志进行监控能显著提升系统安全性。该模块会在检测到多次失败登录后自动添加防火墙规则封禁源IP。
1、在 jail.local 文件中找到 [sshd] 区块或新建此区块。
2、启用 SSH 监控并设定触发条件:enabled = true。
3、设置最大失败尝试次数:maxretry = 3。
4、定义封锁持续时间(单位为秒):bantime = 600。
5、指定日志路径以确保正确读取认证信息:logpath = /var/log/auth.log。
四、启用邮件告警通知
当某个 IP 被封禁时,管理员可通过电子邮件即时获知潜在攻击行为。需预先配置系统的邮件发送能力。
1、在 jail.local 中查找 action 属性并更改为邮件动作:action = %(action_mwl)s。
2、设置接收告警的邮箱地址:destemail = admin@example.com。
3、配置发件人名称(可选):sendername = Fail2Ban Alert。
4、确保已安装如 ssmtp 或 postfix 等邮件传输代理以便实际发送邮件。
五、集成防火墙规则(iptables 或 firewalld)
fail2ban 依赖底层防火墙工具实现 IP 封禁。根据系统使用的防火墙类型选择对应后端驱动。
1、编辑 jail.local 文件,在全局部分指定后端机制:banaction = iptables-multiport(适用于 iptables)。
2、若使用 firewalld,则设置为:banaction = firewallcmd-allports。
3、保存更改后重启 fail2ban 服务使配置生效:sudo systemctl restart fail2ban。
六、验证服务状态与日志输出
确认 fail2ban 正常运行且能正确响应事件是完成配置的关键步骤。通过查看其运行状态和实时日志可判断是否工作正常。
1、检查 fail2ban 服务是否处于活动状态:sudo systemctl status fail2ban。
2、查看最近的监控日志条目:sudo tail -f /var/log/fail2ban.log。
3、模拟几次错误登录(如输入错误密码),观察日志中是否出现新增 ban 记录。
