Fail2ban

最新推荐文章于 2025-06-05 15:11:37 发布
最新推荐文章于 2025-06-05 15:11:37 发布
阅读量10w+ 收藏 21
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 学习笔记 文章标签: fail2ban web安全 ssh安全 系统安全 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaofei0428/article/details/116983301

  • 优点:使用简单、灵活、功能强大

  • 公网网站如果一直被人暴力破解 SSHD 服务密码,会导致系统负载很高,原因是在暴力破解的时候,系统会不断地认证用户,从而增加了系统资源额外开销,导致访问公司网站速度很慢。

  • 然而 fail2ban 程序可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送 e-mail 通知系统管理员,很实用、很强大!

  • 简单来说其功能就是防止暴力破解。

  • 工作的原理是通过分析一定时间内的相关服务日志,将满足动作的相关 IP 利用 iptables 加入到 dorp 列表一定时间。

  • 下载软件包

  • 官方地址:http://www.fail2ban.org

  • 还可以使用 yum 的 epel 方式安装(方便)

  • yum -y install epel-release && yum -y install fail2ban

  • 首先 实现 Fail2ban + iptables 对 SSH 服务防护

  • 实验环境 CentOS 7.8.2003

  • iptables-services 为运行状态  

  • 需要 python 开发环境,并且版本要大于 2.4

  • 设置条件:SSH 远程登录 5 分钟内 3 次密码验证失败,禁止用户 IP 访问主机 1 小时,1 小时该限制自动解除,用户可重新登录。
            因为动作文件(action.d/iptables.conf)以及日志匹配条件文件(filter.d/sshd.conf )安装后是默认存在的。基本不用做任何修改。所有主要需要设置的就只有 jail.conf 文件。启用 SSHD 服务的日志
     分析,指定动作阀值即可。

  • 编辑配置文件

  • vim /etc/fail2ban/jail.conf

  • [sshd] #单个服务检查设置,如设置 bantime、findtime、maxretry 和全局冲突,服务优先级大于全局设置。
  • port = ssh
  • logpath = %(sshd_log)s
  • backend = %(sshd_backend)s
  • enabled = true #是否激活此项(true/false)修改成 true。
  • filter = sshd #过滤规则 filter 的名字,对应 filter.d 目录下的 sshd.conf。
  • action = iptables[name=SSH, port=22, protocol=tcp] #动作的相关参数,对应action.d/iptables.conf 文件。
  • sendmail-whois[name=SSH, dest=you@example.com, sender=fail2ban@example.com, sendername="Fail2Ban"] #触发报警的收件人。
  • logpath = /var/log/secure #检测的系统的登陆日志文件。这里要写 sshd 服务日志文件。默认为 logpath = /var/log/sshd.log(在 centos8 当中需要删除默认的 ssh 区域 logpath 选项) 。
  • #5 分钟内 3 次密码验证失败,禁止用户 IP 访问主机 1 小时。 配置如下。
  • bantime = 3600   #禁止用户 IP 访问主机 1 小时。单位:秒
  • findtime = 300     #在 5 分钟内内出现规定次数就开始工作。单位:秒
  • maxretry = 3       #3 次密码验证失败。

  • 启动服务

  • 测试:故意输入错误密码 3 次,再进行登录时,会拒绝登录。

  • 检测 fail2ban 工作状态

Status
|- Number of jail: 1
`- Jail list: sshd #具体看某一项的状态也可以看,如果显示被 ban 的 ip 和数目就表示成功了,如果都是 0,说明没有成功。

  • fail2ban-client status sshd

Status for the jail: sshd
|- Filter
|  |- Currently failed:    0
|  |- Total failed:    6
|  `- Journal matches:    _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned:    2
   |- Total banned:    2
   `- Banned IP list:    192.168.2.2 192.168.2.4  #加入黑名单的 IP

  • fail2ban 从黑名单中移除 IP 的方法:
    fail2ban-client set sshd unbanip 192.168.2.2

  • 下面实现 Fail2ban + firewalld 对 SSH 服务防护

  • 实验环境: CentOS 8.2.2011
  • firewalld 为 开启状态,并且 SSH 端口已经添加
  • firewall-cmd --zone=public --add-port=2222/tcp --permanent
  • firewall-cmd --zone=public --list-ports
  • yum -y install epel-release && yum -y install fail2ban fail2ban-firewalld

  • 安装好 fail2ban 后 新建配置文件

  • vim /etc/fail2ban/jail.local 

    [DEFAULT]
    ignoreip = 127.0.0.1/8
    bantime  = 86400
    findtime = 600
    maxretry = 5
    #这里 banaction 必须用 firewallcmd-ipset ,这是 friewalld 支持的关键,如果是用 Iptables 请不要这样填写
    banaction = firewallcmd-ipset
    action = %(action_mwl)s

    [sshd]
    enabled = true
    filter  = sshd
    port    = 2222
    action = %(action_mwl)s
    logpath = /var/log/secure

  • ignoreip:IP白名单,白名单中的IP不会屏蔽,可填写多个以(,)分隔

  • bantime:屏蔽时间,单位为秒(s)

  • findtime:时间范围

  • maxretry:最大次数

  • banaction:屏蔽IP所使用的方法,上面使用firewalld屏蔽端口

  • [sshd]:名称,可以随便填写

  • filter:规则名称,必须填写位于filter.d目录里面的规则,sshd是fail2ban内置规则

  • port:对应的端口

  • action:采取的行动

  • logpath:需要监视的日志路径

  • 重启服务
  • systemctl restart fail2ban.service firewalld.service
  • fail2ban-client status sshd
  • 测试

  • 防止CC攻击

    这里仅以Nginx为例,使用fail2ban来监视nginx日志,匹配短时间内频繁请求的IP,并使用firewalld将其IP屏蔽,达到CC防护的作用。

需要先新建一个nginx日志匹配规则 vim /etc/fail2ban/filter.d/nginx-cc.conf

[Definition]
failregex = <HOST> -.*- .*HTTP/1.* .* .*$
ignoreregex =

然后修改 jail.local 追加如下内容:

[nginx-cc]
enabled = true
port = http,https
filter = nginx-cc
action = %(action_mwl)s
maxretry = 20
findtime = 60
bantime = 86400
logpath = /var/log/nginx/access.log

如果在60s内,同一IP达到20次请求,则将其IP ban 1小时,上面只是为了测试,请根据自己的实际情况修改。logpathnginx日志路径。

  • 测试,这里为了看到效果将访问次数调低

挡不住的入侵者?试试Fail2ban,拦截黑客攻击
todoitbo的博客
04-21 1万+
本文将深入介绍Fail2ban工具的功能和用法,帮助读者理解如何通过Fail2ban来保护服务器免受恶意登录和暴力破解的攻击。我们将详细讨论Fail2ban的配置方法、工作原理和优化技巧,以及如何应对不同类型的攻击。
fail2ban中文手册
07-11
简述fail2ban的安装,使用,配置。及使用范例
Fail2Ban防御HTTP恶意请求:原理与实战配置指南
weixin_73725158的博客
06-05 938
Fail2Ban通过监控系统日志(如Nginx/Apache访问日志),使用正则表达式匹配恶意行为(如高频404错误、暴力登录尝试),触发临时封禁规则(通过iptables/firewalld)。在Web服务面临频繁的扫描攻击、暴力破解或DDoS试探时,Fail2Ban作为一款轻量级入侵防御工具,可通过动态封禁恶意IP,显著降低服务器风险。本文结合HTTP场景,解析其配置与优化策略。通过Fail2Ban的精细化配置,可有效遏制针对HTTP服务的自动化攻击。匹配日志中连续404的IP,触发封禁。
fail2ban
weixin_33928137的博客
08-08 109
Fail2ban 一、fail2ban简介 fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员,是不是很好、很实用、很强大! 第一步 上传 包: 通过源安装的方式上面已经提到,这里主要说下源码包安装: 进行解压: [root@localhost 桌面]# tar xf fail2ban-...
fail2ban-cloudflare:将fail2ban与Cloudflare API集成
05-08
fail2ban-cloudflare-适用于Cloudflare API V4 将Fail2ban与Cloudflare API(V4)集成在一起,以使用Nginx和Roboo减轻HTTP泛洪攻击。 要求: Nginx的 Roboo( ) Fail2ban 一个Cloudflare帐户( ) Ruby 1.9.3...
fail2ban-blacklist:将禁止的IP保存在平面文件中,以供以后使用和导入
05-22
使用Fail2ban进行永久IP禁止 描述 该项目允许您通过一些非常基本的python脚本将fail2ban禁止使用的所有IP保存到黑名单文件中。 Fail2ban将在每次重新启动时禁止黑名单中的所有IP。 (请参阅:其他说明) 安装 警告...
基于Fail2ban及iptables的SSH端口爆破防御方案
钟言的博客
07-15 3126
本篇为基于Fail2ban及iptables的SSH端口爆破防御方案,详细内容包含了:、本篇介绍 Fail2ban 1、简介 2、工作方式 3、优缺点 4、工作原理 5、目录结构 6、功能特点 更改默认SSH端口 1、更改配置文件 2、重启服务 四、SSH日志审计 1、连接失败的IP 2、失败IP次数排行 3、连接成功的IP 4、成功IP次数排行 五、Fail2ban1、安装 2、配置 3、日志查看4、命令补充 5、与1panel联动配置 六、蜜罐伪造22端口等内容。
fail2ban-tightvncserver:Fail2Ban Tighvncserver规则
05-08
fail2ban-tightvncserver 要为tightvncserver启用fail2ban,请执行以下操作: 将tighvnc-auth.conf添加到/etc/fail2ban/filter.d 将以下内容添加到/etc/fail2ban/jail.conf [tighvnc-auth] enabled = true port ...
使用 Fail2ban 保护 Web 服务器免受 DDoS 攻击
allway2的博客
07-28 1654
通常,Fail2ban操作会更新防火墙规则,以在指定的时间内拒绝从日志文件中检测到的IP地址,尽管也可以配置发送电子邮件。例如,您知道普通人类用户每秒向您的登录API端点提交登录详细信息的次数不能超过五次,那么您可以确定是否有任何用户发送请求的频率高于这可能是恶意尝试。然后,您可以在您的登录API端点上定义一个每秒5个的速率限制,并锁定/阻止任何违反该规则的客户端IP。这可能会充当您的Web服务器的反向代理,并根据一系列规则保护它免受某些类型的恶意流量。...
Fail2ban工具
探索世界,改变世界
06-05 950
一、fail2ban简介 fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员,是不是很好、很实用、很强大! 二、简单来介绍一下fail2ban的功能和特性 1、支持大量服务。如sshd,apache,qmail,proftpd,sasl等等 2、支持多种动作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(邮件通知)等等。
fail2ban使用
kangseung的博客
01-27 189
jail.local [DEFAULT] ignoreip = 127.0.0.1/8 116.235.0.0/16 172.25.0.0/24 [sshd] enabled = true port = 22 filter = sshd logpath = /var/log/auth.log #backend = systemd maxretry = 3 findtime = 600 bantime = 1200 解除IP锁定 sudo fail2ban-client .
fail2ban 使用
写代码的小孩
09-15 1268
1.安装简单, yum install fail2bin
Fail2ban 使用教程】
D-river博客
03-13 1290
如果你需要监控一些特殊的服务或日志格式,可以自定义过滤规则。过滤规则文件位于目录下。通过以上步骤,你可以完成 Fail2ban 的安装、配置和使用,有效保护系统免受暴力破解攻击。
分享一个 Fail2ban 过滤规则
草根博客站长明月登楼的CSDN博客
06-22 892
今天分享给大家的这个过滤规则比较具有综合性,能防范暴力破解又能屏蔽拦截恶意骚扰请求,明月尤其喜欢的就是对 xmlrpc.php 的访问自动过滤允许来自安卓 WordPress 客户端的请求,另外对于那些使用随机伪装 UA 的请求拦截效果也非常的好。】等文了解,总之 Fail2ban 是 Linux 下不可或缺的安全防御工具,特别是针对 Nginx 的站点日志文件进行实时分析防御效果非常的出众,当你发现自己的站点被暴力破解、恶意爬虫骚扰、采集等等的时候明月非常建议你试试 Fail2ban
Fail2ban详细教程,解决网站被扫描、CC攻击、ssh暴力破解、防爬虫等问题
热门推荐
w710537643的博客
02-12 1万+
最近网站总是被高频度扫描,导致数据库连接过多,打开页面报“Error establishing a database connection“错误。最开始写了个监控网站的脚本,一旦发现网站打不开,重启数据库就好了。但是这几天网站挂掉的频率越来越高,不得不开始寻找新的办法了。 对于网站被恶意扫描、暴力破解、CC 攻击这一系列攻击,都有相似的特征,即高频率发请求导致主机资源使用率飙高。对于这些问题,必须要做两件事,一个是识别恶意发请求的 IP,并封禁;二个是实现网站缓存、静态化等功能减少数据库查询。今天介...
Linux 安装 fail2ban
weixin_35723192的博客
04-03 1844
fail2ban是一款入侵防御软件,能够运行在大多数Linux服务器上,保护计算机服务器免受暴力破解的攻击。fail2ban启动后会通过检测系统行为日志识别暴力破解行为,对于在短时间内多次未能通过身份验证的请求,fail2ban会自动调用系统自带的防火墙或包管理框架(如iptables或tcp wrapper等)进行封禁。
fail2ban用法 ssh
最新发布
07-15
Fail2Ban 是一款用于监控系统日志并阻止恶意活动的入侵防御工具。它可以自动检测到多次尝试失败登录的行为,并通过更新防火墙规则来临时或永久封禁攻击者的 IP 地址,从而保护 SSH 服务等应用程序的安全。 ### 配置 Fail2Ban 保护 SSH 服务的基本步骤如下: #### 1. 安装 Fail2Ban 在大多数 Linux 发行版中,可以通过包管理器安装 Fail2Ban。例如,在基于 Debian 的系统上使用以下命令安装: ```bash sudo apt update sudo apt install fail2ban ``` 安装完成后,Fail2Ban 会自动启动,并设置为开机自启 [^1]。 #### 2. 配置 Jail 文件 Fail2Ban 的主要配置文件位于 `/etc/fail2ban/jail.conf`,但建议创建一个本地副本(如 `jail.local`)进行修改,以避免升级时被覆盖。 编辑 `/etc/fail2ban/jail.local` 文件,并确保包含以下内容来启用对 SSH 的防护: ```ini [sshd] enabled = true port = ssh logpath = %(sshd_log)s backend = auto maxretry = 5 bantime = 3600 findtime = 600 ``` - `enabled = true`:启用该模块。 - `port = ssh`:指定要监控的端口,默认为 `ssh`(即 22)。 - `logpath`:定义日志文件路径,通常为 `/var/log/auth.log` 或 `/var/log/secure`。 - `maxretry`:允许的最大失败尝试次数。 - `bantime`:IP 被封锁的时间(单位:秒),这里设置为 1 小时。 - `findtime`:在指定时间内发生的失败尝试次数上限 [^2]。 #### 3. 使用默认过滤规则 Fail2Ban 提供了针对 SSH 的默认过滤规则 `/etc/fail2ban/filter.d/sshd.conf`,它定义了如何解析日志中的失败登录尝试。一般无需更改此文件,除非有特殊需求。 #### 4. 重启 Fail2Ban 服务 完成配置后,需要重新加载或重启 Fail2Ban 服务以应用更改: ```bash sudo systemctl restart fail2ban ``` 可以使用以下命令检查当前状态和已封禁的 IP 地址: ```bash sudo fail2ban-client status sudo fail2ban-client status sshd ``` #### 5. 自定义通知与白名单 如果希望在发生封禁操作时收到通知,可以在配置中添加邮件通知功能。此外,还可以通过 `ignoreip` 指令将可信 IP 地址加入白名单,防止误封: ```ini ignoreip = 192.168.1.0/24 10.0.0.1 action = %(default_action)s mail-whois[name=SSH, [email protected]] ``` 这样,当有 IP 被封禁时,系统会发送一封包含相关信息的邮件通知给指定收件人 [^3]。 #### 6. 查看日志和调试信息 Fail2Ban 的运行日志通常位于 `/var/log/fail2ban.log` 中。可以通过查看该文件了解最新的封禁事件以及潜在的问题排查信息: ```bash tail -f /var/log/fail2ban.log ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值