Linux 管理員的一個重要任務是保護服務器免受非法攻擊或訪問。 默認情況下，Linux 系統帶有配置良好的防火墻，比如iptables、Uncomplicated Firewall（UFW），ConfigServer Security Firewall（CSF）等，可以防止多種攻擊。

任何連接到互聯網的機器都是惡意攻擊的潛在目標。 有一個名為 Fail2Ban 的工具可用來緩解服務器上的非法訪問。

什么是 Fail2Ban？

Fail2Ban 是一款入侵防御軟件，可以保護服務器免受暴力攻擊。 它是用 Python 編程語言編寫的。 Fail2Ban 基于auth 日志文件工作，默認情況下它會掃描所有 auth 日志文件，如 /var/log/auth.log、/var/log/apache/access.log 等，并禁止帶有惡意標志的IP，比如密碼失敗太多，尋找漏洞等等標志。

通常，Fail2Ban 用于更新防火墻規則，用于在指定的時間內拒絕 IP 地址。 它也會發送郵件通知。 Fail2Ban 為各種服務提供了許多過濾器，如 ssh、apache、nginx、squid、named、mysql、nagios 等。

Fail2Ban 能夠降低錯誤認證嘗試的速度，但是它不能消除弱認證帶來的風險。 這只是服務器防止暴力攻擊的安全手段之一。

如何在 Linux 中安裝 Fail2Ban

Fail2Ban 已經與大部分 Linux 發行版打包在一起了，所以只需使用你的發行包版的包管理器來安裝它。

對于 Debian / Ubuntu，使用 APT-GET 命令或 APT 命令安裝。

對于 Fedora，使用 DNF 命令安裝。

對于 CentOS/RHEL，啟用 EPEL 庫或 RPMForge 庫，使用 YUM 命令安裝。

如何配置 Fail2Ban

默認情況下，Fail2Ban 將所有配置文件保存在 /etc/fail2ban/ 目錄中。 主配置文件是 jail.conf，它包含一組預定義的過濾器。 所以，不要編輯該文件，這是不可取的，因為只要有新的更新，配置就會重置為默認值。

只需在同一目錄下創建一個名為 jail.local 的新配置文件，并根據您的意愿進行修改。

默認情況下，大多數選項都已經配置的很完美了，如果要啟用對任何特定 IP 的訪問，則可以將 IP 地址添加到 ignoreip 區域，對于多個 IP 的情況，用空格隔開 IP 地址。

配置文件中的 DEFAULT 部分包含 Fail2Ban 遵循的基本規則集，您可以根據自己的意愿調整任何參數。

· ignoreip：本部分允許我們列出 IP 地址列表，Fail2Ban 不會禁止與列表中的地址匹配的主機

· bantime：主機被禁止的秒數

· findtime：如果在最近 findtime 秒期間已經發生了 maxretry 次重試，則主機會被禁止

· maxretry：是主機被禁止之前的失敗次數

· destemail:是拒絕IP地址后發送郵件通知的收件地址

如何配置服務

Fail2Ban 帶有一組預定義的過濾器，用于各種服務，如 ssh、apache、nginx、squid、named、mysql、nagios 等。 我們不希望對配置文件進行任何更改，只需在服務區域中添加 enabled = true 這一行就可以啟用任何服務。 禁用服務時將 true 改為 false 即可。

· enabled： 確定服務是打開還是關閉。

· port：指明特定的服務。 如果使用默認端口，則服務名稱可以放在這里。 如果使用非傳統端口，則應該是端口號。

· logpath：提供服務日志的位置

· backend：指定用于獲取文件修改的后端。

重啟 Fail2Ban

進行更改后，重新啟動 Fail2Ban 才能生效。

驗證 Fail2Ban iptables 規則

你可以使用下面的命令來確認是否在防火墻中成功添加了Fail2Ban iptables 規則。

要查看啟用的程序列表，請運行以下命令。

通過運行以下命令來獲取禁止的 IP 地址。

要從 Fail2Ban 中刪除禁止的 IP 地址，請運行以下命令。