简单在ubuntu下使用fail2ban

发表于 2021-11-29 分类于 Tutorial 阅读次数：本文字数： 318 阅读时长 ≈ 1 分钟

这世道，家用动态ip都能被扫描暴力破解…没办法，研究了一下fail2ban的用法，记录一下。

安装fail2ban

1	sudo apt install fail2ban

1
2
3

sudo systemctl status fail2ban #查看状态
sudo systemctl start fail2ban  #启动
sudo systemctl enable fail2ban #开机启动

设置fail2ban

Fail2ban按以下顺序读取配置文件。 每个.local文件都会覆盖.conf文件中的设置：

/etc/fail2ban/jail.conf
/etc/fail2ban/jail.d/*.conf
/etc/fail2ban/jail.local
/etc/fail2ban/jail.d/*.local

我的办法时直接编辑/etc/fail2ban/jail.local，其中的条目会覆盖jail.conf中的对应默认设置:

[DEFAULT]
bantime = 4w    #ban一个月
findtime = 24h  #24小时区间检测
maxretry = 3    #区间检测内最多可以错三次

## ssh监控时默认开启的

排除本地ip使用：

1	在[DEFAULT]下增加ignoreip = 127.0.0.1/8 ::1 123.123.123.123 192.168.1.0/24

使用fail2ban-client

sudo fail2ban-client status sshd                  #检查Jails状况

sudo fail2ban-client set sshd unbanip 23.34.45.56 #取消IP权限

sudo fail2ban-client set sshd banip 23.34.45.56   #禁止IP

sudo iptables --list -n                           
# 由于fail2ban的"ssh-iptables"监狱使用iptables来阻塞问题IP地址，你可以通过以下方式来检测当前iptables来验证禁止规则