LINUX下如何配置fail2ban_防止LINUX服务器被暴力破解的自动化工具

fail2ban可有效防御SSH暴力破解，通过安装配置该工具并设置jail.local规则，结合邮件告警与防火墙集成，实现自动封禁异常IP。

如果您发现服务器日志中存在大量异常登录尝试，例如SSH服务频繁收到错误密码请求，则可能是有人正在对您的系统进行暴力破解攻击。fail2ban 是一款能够监控日志并自动封禁可疑IP地址的自动化工具，可有效缓解此类安全威胁。以下是配置 fail2ban 的具体步骤。

本文运行环境：Dell PowerEdge R750，Ubuntu 22.04

一、安装 fail2ban 工具

fail2ban 并未默认集成在大多数 Linux 发行版中，需通过包管理器手动安装。安装完成后将获得基础配置文件和系统服务支持。

1、打开终端并执行以下命令更新软件包索引：sudo apt update。

2、安装 fail2ban 软件包：sudo apt install fail2ban -y。

3、安装完毕后，fail2ban 会自动生成配置目录并启用默认防护规则。

二、创建本地化配置文件

直接修改主配置文件可能导致升级时被覆盖，因此应使用 .local 文件来覆盖默认设置。fail2ban 优先读取 jailing.local 配置。

1、复制默认配置模板为本地配置：sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local。

2、使用文本编辑器打开新创建的本地文件：sudo nano /etc/fail2ban/jail.local。

3、在此文件中可以针对不同服务定义独立的封锁策略。

三、配置 SSH 暴力破解防护

SSH 是最常见的攻击入口，启用 fail2ban 对 sshd 日志进行监控能显著提升系统安全性。该模块会在检测到多次失败登录后自动添加防火墙规则封禁源IP。

1、在 jail.local 文件中找到 [sshd] 区块或新建此区块。

2、启用 SSH 监控并设定触发条件：enabled = true。

3、设置最大失败尝试次数：maxretry = 3。

4、定义封锁持续时间（单位为秒）：bantime = 600。

BrandCrowd

一个在线Logo免费设计生成器

200

查看详情

5、指定日志路径以确保正确读取认证信息：logpath = /var/log/auth.log。

四、启用邮件告警通知

当某个 IP 被封禁时，管理员可通过电子邮件即时获知潜在攻击行为。需预先配置系统的邮件发送能力。

1、在 jail.local 中查找 action 属性并更改为邮件动作：action = %(action_mwl)s。

2、设置接收告警的邮箱地址：destemail = admin@example.com。

3、配置发件人名称（可选）：sendername = Fail2Ban Alert。

4、确保已安装如 ssmtp 或 postfix 等邮件传输代理以便实际发送邮件。

五、集成防火墙规则（iptables 或 firewalld）

fail2ban 依赖底层防火墙工具实现 IP 封禁。根据系统使用的防火墙类型选择对应后端驱动。

1、编辑 jail.local 文件，在全局部分指定后端机制：banaction = iptables-multiport（适用于 iptables）。

2、若使用 firewalld，则设置为：banaction = firewallcmd-allports。

3、保存更改后重启 fail2ban 服务使配置生效：sudo systemctl restart fail2ban。

六、验证服务状态与日志输出

确认 fail2ban 正常运行且能正确响应事件是完成配置的关键步骤。通过查看其运行状态和实时日志可判断是否工作正常。

1、检查 fail2ban 服务是否处于活动状态：sudo systemctl status fail2ban。

2、查看最近的监控日志条目：sudo tail -f /var/log/fail2ban.log。

3、模拟几次错误登录（如输入错误密码），观察日志中是否出现新增 ban 记录。

以上就是LINUX下如何配置fail2ban_防止LINUX服务器被暴力破解的自动化工具的详细内容，更多请关注php中文网其它相关文章！