Fail2Ban安全配置与应用

fail2ban是一款安全保护工具，触发限制后会创建防火墙规则封锁IP，诸如对ssh暴力破解、ftp/http密码穷举等场景提供强有力的保护，主要作用概要为以下几点：
避免被穷举攻击
查看验证失败的日志
自动创建防火墙规则封锁IP
支持多种服务
高度可定制

安装

apt install fail2ban

备份配置文件

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

修改jail.local文件里的策略配置，常用配置：

# 设置要忽略的IP地址，这可以是以空格分隔的多个IP、IP/掩码、DNS。
ignoreip = 127.0.0.1/8
# 设置IP被禁止的持续时间，单位为秒。
bantime = 10m
# 设置匹配时间间隔，单位为秒，即从日志中匹配条目，若指定时间内匹配到"maxretry"项设置的条目数量时，将会执行封禁IP动作。
findtime  = 10m
# 设置从日志中匹配到IP的最大数量，即尝试次数
maxretry = 3

常用命令

systemctl enable fail2ban
systemctl status fail2ban
tail -f /var/log/fail2ban.log

显示当前的封禁规则和封禁的IP地址：

fail2ban-client status

解封IP地址：

fail2ban-client set [JAIL 名称] unbanip [IP 地址]

查看ssdh的封禁规则

fail2ban-client status sshd