Fail2Ban是一款Linux系统上的日志监控工具,可以检测登录尝试失败的次数,如果超过了一定次数后就将其IP地址加入防火墙规则,防止其再次访问。以下是Fail2Ban的安装使用及常用配置教程。
系统要求:
- 操作系统:CentOS、Debian/Ubuntu
- 管理权限:Root权限或sudo权限
安装Fail2Ban:
以CentOS操作系统为例,使用以下命令安装:
yum install fail2ban
使用Fail2Ban:
- 配置文件
Fail2Ban的配置文件位于/etc/fail2ban/目录下,其中比较重要的是jail.conf文件,这个文件定义了Fail2Ban监控哪些服务以及如何处理恶意IP。
- 启动服务
使用以下命令启动Fail2Ban服务:
systemctl start fail2ban.service
- 监控服务
以监控SSH服务为例,在jail.conf中找到[sshd]的配置段,将enabled改为true:
[sshd]
enabled = true
然后重启Fail2Ban服务以使更改生效:
systemctl restart fail2ban.service
- 查看监控日志
Fail2Ban监控日志位于/var/log/fail2ban.log文件中,使用以下命令查看:
tail -f /var/log/fail2ban.log
常用配置:
- 忽略某些IP
如果你希望Fail2Ban忽略某些IP,可以在jail.conf中添加以下配置:
ignoreip = 192.168.1.1
- 设定监控失败次数
可以在jail.conf中设定监控失败的次数,例如监控SSH服务,在[sshd]中修改如下配置:
maxretry = 3
这将表示连续3次登陆失败后将触发Fail2Ban的拦截规则。
- 修改拦截时间
可以在jail.conf中修改拦截时间,例如监控SSH服务,在[sshd]中修改如下配置:
bantime = 3600
这意味着为恶意IP添加防火墙规则后,该IP将被拦截1小时。
- 设定邮件通知
可以在jail.conf中设定邮件通知,例如添加以下配置:
destemail = [email protected]
action = %(action_mwl)s
当Fail2Ban监控到恶意行为时,将向[email protected]发送邮件通知。