CentOS7安装Fail2Ban防止SSH被暴力破解

1、检查 Firewalld 防火墙是否启用

2、启用 Firewalld 后默认 --remove-port 禁止所有端口，需手动开放，以下是开放 SSH 端口（ 22 ）示例：

1、编辑

2、配置

意思是如果在1小时内，同一IP登陆失败3次，则将其封禁24小时，具体根据实际情况修改。

1、执行命令

2、显示内容

1、编辑 （Debian系：/etc/s-nail.rc；RedHat系：/etc/mail.rc）

2、在文件末尾增加配置

3、测试

多个收件人用 , 分隔，刚刚发送的邮件在 收件箱 或 垃圾箱 中。

1、编辑

2、配置

1、编辑

2、配置

以 Nginx 为例，使用 fail2ban 来监视 nginx 日志，匹配短时间内频繁请求的 IP ，并使用 firewalld 将其 IP 屏蔽，达到 CC 防护的作用。

1、编辑

2、配置

1、编辑

2、配置

意思是如果在60秒内，同一IP达到120次请求，则将其封禁2小时，具体根据实际情况修改。

1、执行命令

2、显示内容

1、使用正则规则检测

2、使用规则文件检测

首先允许我比较详细地介绍一下fail2ban jail。jail定义了针对特定应用程序的策略，fail2ban根据该策略来触发保护某个应用程序的行动。针对Apache、Dovecot、Lighttpd、MySQL、Postfix和SSH之类的流行应用程序，fail2ban随带几个在/etc/fail2ban/jail.conf中预先定义的jail。每个jail依靠针对特定应用程序的日志过滤器(位于/etc/fail2ban/fileter.d)来检测常见攻击。不妨看一个示例性的jail：SSH jail。

[ssh]

enabled = true

port = ssh

filter = sshd

logpath = /var/log/auth.log

maxretry = 6

banaction = iptables-multiport

这个SSH jail的配置由几个参数来定义：

•[ssh]：jail的名称，带方括号。

•enabled：该jail是不是激活。

•port：要保护的端口号(数字编号或公共名)。

•filter：用来检测攻击的分析日志的规则。

•logpath：要仔细分析的日志文件。

•maxretry：禁止之前最多失败次数。

•banaction：禁止动作。

---