每天掌握一个Linux命令 - fail2ban
Linux 命令工具 fail2ban 使用指南
目录
- Linux 命令工具 fail2ban 使用指南
- 一、工具概述
- 二、安装方式
- 1. 包管理器安装(推荐)
- Debian/Ubuntu 系统
- CentOS/RHEL 系统
- Arch Linux 系统
- 2. 手动编译安装(适用于自定义需求)
- 三、核心功能
- 四、基础用法
- 1. 配置文件结构
- 2. 启用 SSH 防护(示例)
- 步骤 1:编辑服务配置
- 步骤 2:启动服务
- 步骤 3:验证状态
- 五、进阶操作
- 1. 自定义过滤规则
- 场景:防护 Web 服务(Nginx 恶意请求)
- 2. 自定义动作(邮件报警)
- 3. 多服务批量配置
- 六、实战案例:防护 WordPress 登录暴力破解
- 步骤 1:配置 WordPress 日志
- 步骤 2:创建过滤规则 `/etc/fail2ban/filters.d/wordpress.conf`
- 步骤 3:配置服务规则 `jail.d/wordpress.conf`
- 步骤 4:重启服务使配置生效
- 案例二:防护 SSHD 服务暴力破解
- 步骤 1:检查和调整默认配置
- 步骤 2:重启 fail2ban 服务
- 步骤 3:验证防护效果
- 七、注意事项
一、工具概述
fail2ban 是一款基于 Python 的 Linux 安全工具,主要用于监控系统日志文件,通过分析日志中的失败登录尝试(如 SSH、FTP、Web 服务等),自动封禁频繁尝试登录的 IP 地址,从而有效抵御暴力破解攻击。其核心原理是通过正则表达式匹配日志中的失败记录,结合预设的过滤规则和动作(如调用 iptables 防火墙封禁 IP),实现自动化的安全防护。
二、安装方式
1. 包管理器安装(推荐)
Debian/Ubuntu 系统
sudo apt update
sudo apt install fail2ban
CentOS/RHEL 系统
sudo yum install epel-release # 若未安装 EPEL 源
sudo yum install fail2ban
Arch Linux 系统
sudo pacman -S fail2ban
2. 手动编译安装(适用于自定义需求)
wget https://github.com/fail2ban/fail2ban/archive/refs/tags/v1.0.0.tar.gz # 替换为最新版本号
tar -zxvf v1.0.0.tar.gz
cd fail2ban-1.0.0
sudo python3 setup.py install
三、核心功能
| 功能模块 | 说明 |
|---|---|
| 日志监控 | 实时扫描指定日志文件(如 /var/log/sshd.log),匹配失败登录模式。 |
| 过滤规则 | 通过正则表达式定义失败登录的匹配规则,支持自定义规则文件(.filter)。 |
| 动作执行 | 触发封禁动作(如调用 iptables、firewalld 或发送邮件报警),支持自定义动作(.action)。 |
| 封禁管理 | 支持设置封禁时间(bantime)、最大失败次数(maxretry)和检测间隔(findtime)。 |
| 多服务支持 | 内置常见服务(SSH、HTTP、FTP 等)的默认规则,可快速启用防护。 |
四、基础用法
1. 配置文件结构
/etc/fail2ban/
├── fail2ban.conf # 全局配置(一般不修改)
├── jail.conf # 服务配置模板(修改此文件或创建自定义文件)
├── jail.d/ # 自定义服务配置目录(优先级高于 jail.conf)
├── filters.d/ # 过滤规则目录
└── actions.d/ # 动作定义目录
2. 启用 SSH 防护(示例)
步骤 1:编辑服务配置
sudo nano /etc/fail2ban/jail.conf
在 [sshd] 部分取消注释并配置参数:
[sshd]
enabled = true # 启用服务
port = ssh # 监控端口(默认 22)
filter = sshd # 使用内置过滤规则
logpath = /var/log/sshd.log # 日志路径
maxretry = 3 # 最大失败次数
bantime = 3600 # 封禁时间(秒,默认 10 分钟)
findtime = 600 # 检测时间窗口(秒,默认 10 分钟内)
步骤 2:启动服务
sudo systemctl start fail2ban
sudo systemctl enable fail2ban # 开机自启
步骤 3:验证状态
sudo fail2ban-client status sshd # 查看 SSH 服务防护状态
sudo fail2ban-client banned # 查看当前封禁的 IP 列表
五、进阶操作
1. 自定义过滤规则
场景:防护 Web 服务(Nginx 恶意请求)
- 创建过滤规则文件
/etc/fail2ban/filters.d/nginx-malicious.conf:
[Definition]
failregex = ^<HOST> - .* "(GET|POST) /(admin|login|api) HTTP/1.1" 403
ignoreregex = # 可选:忽略特定模式
2. 自定义动作(邮件报警)
- 修改动作文件
/etc/fail2ban/actions.d/mail-action.conf:
[Definition]
actionstart = sendmail -t <<EOF
From: fail2ban <alert@example.com>
To: admin@example.com
Subject: fail2ban startedService: <service>
EOFactionban = sendmail -t <<EOF
From: fail2ban <alert@example.com>
To: admin@example.com
Subject: [Banned] <ip> tried to attack <service>IP: <ip>
Service: <service>
Time: < bantime >
EOF
3. 多服务批量配置
在 jail.conf 中添加通用配置:
[DEFAULT]
bantime = 28800 # 全局封禁时间(8 小时)
findtime = 3600 # 全局检测窗口(1 小时)[ssh]
enabled = true
port = 22,2222 # 监控多个端口[ftp]
enabled = true
port = ftp,ftps
logpath = /var/log/xferlog
六、实战案例:防护 WordPress 登录暴力破解
步骤 1:配置 WordPress 日志
确保 WordPress 启用调试日志(在 wp-config.php 中添加):
define('WP_DEBUG', true);
define('WP_DEBUG_LOG', true);
步骤 2:创建过滤规则 /etc/fail2ban/filters.d/wordpress.conf
[Definition]
failregex = ^.*POST /wp-login.php.*(Invalid username|The password you entered for the username).*IP: <HOST>
ignoreregex =
步骤 3:配置服务规则 jail.d/wordpress.conf
[wordpress]
enabled = true
port = http,https
filter = wordpress
logpath = /var/www/wordpress/wp-content/debug.log
maxretry = 5
bantime = 43200 # 封禁 12 小时
步骤 4:重启服务使配置生效
sudo systemctl restart fail2ban
案例二:防护 SSHD 服务暴力破解
假设服务器近期频繁遭受 SSHD 服务的暴力破解尝试,导致系统负载升高,为保障服务器安全,利用 fail2ban 进行防护。
步骤 1:检查和调整默认配置
一般情况下,fail2ban 安装后对 SSHD 服务有默认配置,但可能需根据实际情况调整。打开 /etc/fail2ban/jail.conf 或 /etc/fail2ban/jail.d/sshd.conf(若存在)文件。
sudo nano /etc/fail2ban/jail.d/sshd.conf
确认或修改以下关键参数:
\[sshd]enabled = true port = ssh filter = sshd logpath = /var/log/sshd.log maxretry = 3 bantime = 3600 findtime = 600 
这里将 maxretry 设置为 3,表示 600 秒(findtime)内,若同一 IP 地址登录失败超过 3 次,该 IP 将被封禁 3600 秒(bantime)。
步骤 2:重启 fail2ban 服务
配置完成后,重启 fail2ban 服务使新配置生效。
sudo systemctl restart fail2ban
步骤 3:验证防护效果
使用另一台主机模拟错误的 SSH 登录尝试,故意输入错误密码多次。随后,通过以下命令查看 SSHD 服务的 fail2ban 状态:
sudo fail2ban-client status sshd
若配置生效,可看到 Currently failed(当前失败次数)和 Total failed(总失败次数)增加,当达到 maxretry 设定值后,该 IP 会被封禁,Currently banned(当前封禁数)和 Banned IP list(封禁 IP 列表)中会出现对应信息。若需解除对某个 IP 的封禁,可使用以下命令:
sudo fail2ban-client set sshd unbanip \<ip\_address>
将 <ip_address> 替换为实际被封禁的 IP 地址。通过上述配置和操作,可有效利用 fail2ban 防护 SSHD 服务,抵御暴力破解攻击,保障服务器安全。
七、注意事项
-
误封处理:
- 使用
sudo fail2ban-client set sshd unbanip <ip>解封指定 IP。 - 添加白名单:在
jail.conf中配置ignoreip = 192.168.1.0/24 10.0.0.0/8(允许内网 IP)。
- 使用
-
性能优化:
- 避免监控过大的日志文件,可通过
logrotate定期切割日志。 - 减少正则表达式复杂度,避免过度消耗 CPU 资源。
- 避免监控过大的日志文件,可通过
-
规则测试:
- 使用
fail2ban-regex <logfile> <filterfile>验证规则匹配效果:fail2ban-regex /var/log/sshd.log /etc/fail2ban/filters.d/sshd.conf
- 使用
-
防火墙依赖:
- 确保
iptables或firewalld已启用,且 fail2ban 有权限操作防火墙。 - 若使用
firewalld,需在动作中指定action = firewallcmd-ipset。
- 确保
-
日志权限:
- 确保 fail2ban 服务用户(默认
fail2ban)有读取日志文件的权限。
- 确保 fail2ban 服务用户(默认
通过合理配置 fail2ban,可显著提升系统抵御暴力破解的能力,同时结合定期审计封禁日志和优化过滤规则,能进一步增强安全防护的准确性和有效性。