Fail2ban通过监控日志自动封禁恶意IP,有效防范SSH暴力破解。在Linux系统中可通过包管理器安装,配置jail.local文件启用SSHD防护,设置maxretry=3、bantime=86400等参数后启动服务,结合firewalld/iptables实现自动封禁,显著提升服务器安全性。
Fail2ban 是一款实用的开源入侵防御软件,能有效防止 SSH 暴力破解、FTP 弱口令尝试等常见攻击。它通过监控系统日志,自动识别异常登录行为,并临时封禁恶意 IP 地址。在 Linux 服务器上部署 Fail2ban 是安全加固的重要一步,尤其适用于开放了 SSH 服务的公网主机。
安装 Fail2ban
大多数主流 Linux 发行版都支持通过包管理器直接安装 Fail2ban。
- Debian/Ubuntu 系统:
sudo apt update
sudo apt install fail2ban
- CentOS/RHEL/Rocky Linux(需启用 EPEL):
sudo yum install epel-release(或 dnf install epel-release)
sudo yum install fail2ban(或 dnf install fail2ban)
安装完成后,Fail2ban 服务会自动生成配置文件并准备运行。
配置 Fail2ban 防护 SSH
Fail2ban 的主配置文件位于 /etc/fail2ban/jail.conf,但建议创建本地覆盖文件以避免升级时被覆盖。
复制并编辑本地配置:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local
找到 [sshd] 区块并确保启用和合理设置:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 86400
findtime = 3600
说明:
- maxretry = 3:允许失败尝试 3 次
- bantime = 86400:封禁持续 24 小时(单位:秒)
- findtime = 3600:在 1 小时内超过 maxretry 触发封禁
- logpath:根据系统日志路径调整,Ubuntu/Debian 通常为 /var/log/auth.log,CentOS/RHEL 为 /var/log/secure
启动并启用 Fail2ban 服务
配置完成后,启动服务并设置开机自启:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
检查服务状态是否正常运行:
sudo systemctl status fail2ban
查看 SSH 防护是否已激活:
sudo fail2ban-client status sshd
输出中应包含“Currently banned”信息,表示已有 IP 被封禁或规则生效。
查看日志与解除封禁
Fail2ban 日志通常位于 /var/log/fail2ban.log,可用于排查问题或确认封禁行为:
sudo tail -f /var/log/fail2ban.log
若需手动解封某个 IP(例如误封):
sudo fail2ban-client set sshd unbanip 192.168.1.100
也可查看当前被封禁的 IP 列表:
sudo fail2ban-client status sshd
如果使用 firewalld 或 iptables,Fail2ban 会自动集成对应防火墙规则,无需额外配置。
基本上就这些。部署 Fail2ban 后,可显著降低 SSH 暴力破解风险。配合修改默认 SSH 端口、禁用密码登录、使用密钥认证等措施,服务器安全性将进一步提升。
