fail2ban - 日勿の部落格

检查 SSH 端口是否被爆破#

1
journalctl -u ssh

如果在日志中看到了大量的不明 IP 地址在进行尝试，就说明有人在尝试爆破了。

安装 Fail2Ban#

在基于 Debian/Ubuntu 的系统中执行：

1
sudo apt update
2
sudo apt install fail2ban -y

在基于 RHEL/CentOS 的系统中执行：

1
sudo yum install epel-release
2
sudo yum install fail2ban -y

配置文件管理原则#

Fail2Ban 默认配置文件为 /etc/fail2ban/jail.conf。为防止软件更新覆盖配置，禁止直接修改该文件。所有自定义配置应写入 /etc/fail2ban/jail.local。

创建并编辑配置文件：

1
sudo touch /etc/fail2ban/jail.local
2
sudo nano /etc/fail2ban/jail.local

标准配置方案#

将以下内容写入 /etc/fail2ban/jail.local：

1
[DEFAULT]
2
# 基础封禁参数
3
bantime  = 24h
4
findtime = 1h
5
maxretry = 3
6

7
# 启用阶梯式封禁（针对多次被封禁的 IP 延长封禁时间）
8
bantime.increment = true
9
bantime.factor = 1
10
bantime.maxtime = 5w
11

12
# 指定防火墙后端（推荐使用 nftables）
13
banaction = nftables-multiport
14
backend = systemd
15

16
[sshd]
17
enabled = true
18
# 指定实际使用的 SSH 端口
19
port    = 4399
20
# 开启激进模式以捕获协议错误、预认证阶段断开等恶意探测
21
filter  = sshd[mode=aggressive]

关键参数说明#

mode = aggressive：此模式不仅监控密码失败，还会监控密钥交换失败（kex_protocol_error）、连接重置（Connection reset by… [preauth]）等行为。适用于已禁用密码登录、仅使用证书登录的服务器。
bantime.increment：开启后，如果同一 IP 重复触发封禁，封禁时间将按指数级增长，最高可达 bantime.maxtime。
findtime = 1h：将监控窗口延长至 1 小时，用于捕获低频尝试的扫描脚本。

服务管理命令#

启动与重新加载#

1
# 启动服务并设置开机自启
2
sudo systemctl enable --now fail2ban
3

4
# 每次修改 jail.local 后重新加载配置
5
sudo systemctl restart fail2ban

查看状态#

1
# 查看 Fail2Ban 整体运行状态
2
fail2ban-client status
3

4
# 查看 SSH 监狱的具体封禁列表和统计
5
fail2ban-client status sshd

验证配置生效情况#

1
# 查询当前 sshd 监狱生效的 maxretry 值
2
fail2ban-client get sshd maxretry
3

4
# 查询当前 sshd 监狱生效的模式
5
fail2ban-client get sshd filter

手动操作#

1
# 手动封禁一个 IP
2
fail2ban-client set sshd banip <IP地址>
3

4
# 手动解封一个 IP
5
fail2ban-client set sshd unbanip <IP地址>

日志监控#

通过查看日志确认 Fail2Ban 是否正常识别并过滤恶意请求：

1
# 查看 Fail2Ban 运行日志
2
sudo tail -f /var/log/fail2ban.log
3

4
# 查看 SSH 登录尝试日志
5
sudo journalctl -u ssh -f