Linux 如何使用 fail2ban 防止 SSH 暴力破解

如果你堅持使用帶密碼的 SSH 登錄, 業內公認的, 防止SSH爆破的最有效且成本最低的方法是利用Fail2ban. 不需要加之一, 而且, 幾乎沒有副作用.

Fail2ban還能結合 wordpress 防止暴力登錄, 今天只說最小可用方式, 也是最實用的方式, 在你使用 ssh 賬戶和密碼登錄的情況下, 如何防止別人暴力破解.

Centos 下安裝 faile2ban

yum -y install epel-release
yum -y install fail2ban

配置 Fail2Ban

編輯其配置文件 /etc/fail2ban/jail.conf。在配置文件的“[DEFAULT]”區，你可以在此定義所有受監控的服務的默認參數，另外在特定服務的配置部分，你可以為每個服務（例如SSH，Apache等）設置特定的配置來覆蓋默認的參數配置。

在針對服務的監獄區（在[DEFAULT]區后面的地方），你需要定義一個[ssh-iptables]區，這里用來定義SSH相關的監獄配置。真正的禁止IP地址的操作是通過iptables完成的。

下面是一個包含“ssh-iptables”監獄配置的/etc/fail2ban/jail.conf的文件樣例。當然根據你的需要，你也可以指定其他的應用監獄

[DEFAULT]               #全局設置
ignoreip = 127.0.0.1/8       #忽略的IP列表,不受設置限制
bantime  = 600             #屏蔽時間，單位：秒
findtime  = 600             #這個時間段內超過規定次數會被ban掉
maxretry = 3                #最大嘗試次數
backend = auto            #日志修改檢測機制（gamin、polling和auto這三種）
[ssh-iptables]               #單個服務檢查設置，如設置bantime、findtime、maxretry和全局沖突，服務優先級大于全局設置。
enabled  = true             #是否激活此項（true/false）修改成 true
filter   = sshd              #過濾規則filter的名字，對應filter.d目錄下的sshd.conf
action   = iptables[name=SSH, port=ssh, protocol=tcp]             #動作的相關參數，對應action.d/iptables.conf文件
sendmail-whois[name=SSH, dest=you@example.com, sender=fail2ban@example.com, sendername="Fail2Ban"]#觸發報警的收件人
logpath  = /var/log/secure   #檢測的系統的登陸日志文件。這里要寫sshd服務日志文件。默認為logpath = /var/log/sshd.log
#5分鐘內3次密碼驗證失敗，禁止用戶IP訪問主機1小時。配置如下
bantime  = 3600   #禁止用戶IP訪問主機1小時
findtime  = 300    #在5分鐘內內出現規定次數就開始工作
maxretry = 3    #3次密碼驗證失敗

重啟Fail2Ban

systemctl restart fail2ban

測試

密碼輸入錯誤三次之后ssh服務斷開

查看防火墻規則，我們的IP已經被禁止端口訪問