Fail2Ban是一款开源的网络安全软件,它可以监控日志文件,根据预设的规则自动识别恶意行为,如暴力破解、恶意扫描等,然后对攻击者进行IP封禁,从而保护服务器安全。在Ubuntu系统中,Fail2Ban的使用非常简单,以下是一份详细的Fail2Ban使用指南,帮助您轻松应对恶意登录攻击。
一、安装Fail2Ban
在Ubuntu系统中,您可以使用以下命令安装Fail2Ban:
sudo apt update
sudo apt install fail2ban
二、配置Fail2Ban
Fail2Ban的配置文件位于/etc/fail2ban/目录下。以下是Fail2Ban的主要配置文件及其作用:
jail.conf:Fail2Ban的主要配置文件,定义了Fail2Ban的基本设置,如日志路径、封禁时间等。filter.d/:Fail2Ban的过滤器配置目录,包含了各种日志文件的解析规则。action.d/:Fail2Ban的动作配置目录,定义了封禁动作,如发送邮件、添加防火墙规则等。logpath.d/:Fail2Ban的日志路径配置目录,定义了各种服务的日志路径。
1. 配置jail.conf
打开jail.conf文件,找到以下内容:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
findtime = 600
bantime = 3600
这段配置表示Fail2Ban会监控SSH登录尝试,当在600秒内连续3次失败时,将会封禁该IP地址1小时。
2. 配置filter.d/sshd.conf
打开filter.d/sshd.conf文件,找到以下内容:
”`ini [Definition] failregex = ^%(__prefix_line)s(?:(?:\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S+\s+\S