Linux下安装配置Fail2ban防护工具

Fail2ban是一款开源的入侵防护工具，通过监控日志文件来检测潜在的攻击行为，如暴力破解，并自动更新防火墙规则以阻止这些攻击。本文将详细介绍如何在Linux系统中安装和配置Fail2ban。

一、安装Fail2ban

1. 安装Fail2ban

在Debian/Ubuntu系统中，可以使用以下命令安装Fail2ban：

sudo apt update
sudo apt install fail2ban
​

在CentOS/RHEL系统中，可以使用以下命令安装Fail2ban：

sudo yum install epel-release
sudo yum install fail2ban
​

2. 启动和启用Fail2ban服务

安装完成后，启动Fail2ban服务并设置为开机自启动：

sudo systemctl start fail2ban
sudo systemctl enable fail2ban
​

3. 检查Fail2ban服务状态

可以使用以下命令检查Fail2ban服务的状态：

sudo systemctl status fail2ban
​

二、配置Fail2ban

1. 创建本地配置文件

Fail2ban的默认配置文件位于 /etc/fail2ban/jail.conf，不建议直接修改该文件。相反，我们可以创建一个本地配置文件 /etc/fail2ban/jail.local 来覆盖默认设置。

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
​

2. 配置基本设置

打开并编辑 /etc/fail2ban/jail.local 文件：

sudo nano /etc/fail2ban/jail.local
​

在 [DEFAULT] 部分，可以配置全局设置，例如：

[DEFAULT]
bantime  = 3600     # 被禁止的时间长度（秒）
findtime = 600      # 在该时间段内进行检测（秒）
maxretry = 5        # 失败尝试次数
​

3. 启用并配置具体服务

在 jail.local 文件中，配置具体服务的设置，例如SSH服务：

[sshd]
enabled = true
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
​

确保将 enabled 设置为 true，以启用对SSH服务的保护。

三、Fail2ban 过滤器配置

Fail2ban 通过过滤器（filters）来解析日志文件中的失败尝试记录，并采取相应的措施。

1. 查看默认过滤器

Fail2ban的默认过滤器文件位于 /etc/fail2ban/filter.d/ 目录中。例如，SSH的过滤器文件是 sshd.conf。

2. 自定义过滤器

如果需要创建自定义过滤器，可以在 /etc/fail2ban/filter.d/ 目录中创建新的过滤器文件，例如 custom.conf：

sudo nano /etc/fail2ban/filter.d/custom.conf
​

在文件中定义过滤规则，例如：

[Definition]
failregex = <HOST> - - [.*] "GET /wp-login.php HTTP/1.1" 200
​

四、测试Fail2ban配置

1. 测试配置文件语法

可以使用以下命令测试Fail2ban的配置文件语法：

sudo fail2ban-client -d
​

2. 手动测试过滤器

可以使用以下命令手动测试过滤器的匹配情况：

sudo fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf
​

五、管理Fail2ban

1. 查看被禁IP列表

使用以下命令查看当前被禁的IP列表：

sudo fail2ban-client status sshd
​

2. 手动解禁IP

使用以下命令手动解禁某个IP：

sudo fail2ban-client set sshd unbanip <IP_ADDRESS>
​

3. 重启Fail2ban服务

每次修改配置后，需要重启Fail2ban服务以使更改生效：

sudo systemctl restart fail2ban
​

六、总结

通过以上步骤，可以在Linux系统中成功安装和配置Fail2ban，从而有效保护服务器免受暴力破解等攻击。Fail2ban通过实时监控日志文件，自动更新防火墙规则，为系统安全提供了一层重要的保护。

思维导图