能,但需正确配置日志路径、过滤规则和防火墙动作;默认不启用sshd jail,logpath须匹配系统日志位置,action需与实际防火墙后端一致,且须配合禁root、关密码、改端口等基础加固。
fail2ban 能不能直接防住 SSH 暴力破解?
能,但不是开箱即用——它必须配合正确的日志路径、过滤规则和防火墙动作才能生效。很多用户装完 fail2ban 就以为万事大吉,结果发现攻击 IP 依然在狂刷 /var/log/secure 或 /var/log/auth.log,根本没被封。
关键原因有三个:
• fail2ban 默认不启用任何 jail(比如 [sshd]),必须手动开启;
• 日志路径写错(logpath)会导致它压根“看不见”失败登录;
• 后端动作没配对(比如用了 iptables 动作,但系统实际用的是 firewalld),封 IP 就是空转。
怎么配 jail.local 才算真正生效?
别动 /etc/fail2ban/jail.conf,所有修改必须写进 /etc/fail2ban/jail.local(先 cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local)。重点只改这几项:
-
ignoreip = 127.0.0.1/8 192.168.1.0/24—— 把你自己的办公网段加进去,不然一测就把自己锁门外 -
maxretry = 3—— 太高(如 5)等于放水;太低(如 1)容易误杀(输错一次密码就被封) -
findtime = 600(单位秒)—— 10 分钟内累计失败才触发,比按小时统计更及时 -
bantime = 86400—— 封 24 小时够狠,但别设成 -1(永久封),后期排查麻烦 -
[sshd]区块里必须写enabled = true,且logpath要严格匹配你的系统:
CentOS/RHEL:logpath = /var/log/secure
Ubuntu/Debian:logpath = /var/log/auth.log
为什么 fail2ban-client status sshd 显示 0 个 banned IP?
常见于三种情况:
- SSH 服务没用默认端口(比如改成了
Port 2222),但jail.local里没同步改port = 2222,导致fail2ban还在盯 22 端口的 log - SELinux 或 firewalld 拦截了
fail2ban的 iptables 调用(尤其 CentOS 8+ 默认用nftables),得换动作:action = nftables[name=SSH, port=ssh, protocol=tcp] - 攻击流量根本没进 SSH 认证环节(比如被云厂商安全组或 WAF 先拦了),
fail2ban只能处理已到达系统的失败登录,对 SYN Flood 或端口扫描无能为力
fail2ban 不是万能解药,必须搭配基础加固
单靠 fail2ban 封 IP 是被动防御,攻击者换个 IP 又来。真正降低风险得组合出拳:
- 禁掉
root远程登录:PermitRootLogin no在/etc/ssh/sshd_config里设死 - 关掉密码登录,只留密钥:
PasswordAuthentication no+PubkeyAuthentication yes - 把 SSH 端口挪到 10000 以上(比如
Port 22022),能过滤掉 90% 的自动化扫段脚本 - 云服务器务必收紧安全组:只放你办公室或家庭宽带的固定 IP,别开 0.0.0.0/0
最常被忽略的一点:改完 sshd_config 必须 systemctl restart sshd,且**新开一个终端验证新用户能登再关旧连接**——否则配置错一条,你就真进不去了。
