fail2ban

Fail2ban 是一款开源的、用于防止网络服务被暴力破解的软件。它可以监控系统日志文件，并寻找有恶意行为的迹象，比如太多的密码失败尝试、寻找系统漏洞等。一旦检测到这样的行为，Fail2ban 就会自动更新防火墙规则以阻止恶意 IP 地址的进一步访问，从而增加了服务器的安全性。

Fail2ban 的主要特性包括：

1. 客户端/服务器架构：Fail2ban 有一个服务器和多个客户端。服务器负责监控日志文件和执行动作，客户端则负责向服务器发送命令。

2. 多日志文件支持：Fail2ban 可以同时监控多个日志文件。

3. 可配置的检测和封禁策略：Fail2ban 允许用户自定义规则，以匹配日志文件中的特定模式，并定义在检测到这些模式后应该执行的动作。

4. 支持多种防火墙：Fail2ban 支持多种防火墙，包括 iptables、ipfw、pf 等。

5. 邮件通知：Fail2ban 可以配置为在封禁 IP 或解封 IP 时发送邮件通知。

6. 可扩展性：Fail2ban 允许用户编写自己的过滤器和动作，从而可以适应各种特定的需求。

Fail2ban 是一种有效的防止暴力破解的工具，它可以保护 SSH、FTP、SMTP、Apache 等多种服务。通过自动封禁恶意 IP，Fail2ban 可以显著提高服务器的安全性。

fail2ban的部署

摘抄自 其他博文

首先检查Firewalld是否启用

#如果您已经安装iptables建议先关闭
service iptables stop
#查看Firewalld状态
firewall-cmd --state
#启动firewalld
systemctl start firewalld
#设置开机启动
systemctl enable firewalld.service
#更新完配置记得重启
systemctl restart fail2ban

启用Firewalld后会禁止所有端口连接，因此请务必放行常用的端口，以免被阻挡在外，以下是放行SSH端口（22）示例，供参考：

#放行22端口
firewall-cmd --zone=public --add-port=80/tcp --permanent
#重载配置
firewall-cmd --reload
#查看已放行端口
firewall-cmd --zone=public --list-ports

#CentOS内置源并未包含fail2ban，需要先安装epel源
yum -y install epel-release
#安装fial2ban
yum -y install fail2ban
安装成功后fail2ban配置文件位于/etc/fail2ban，其中jail.conf为主配置文件，相关的匹配规则位于filter.d目录，其它目录/文件一般很少用到，如果需要详细了解可自行搜索。

fail2ban中常用命令

#启动
systemctl start fail2ban
#停止
systemctl stop fail2ban
#开机启动
systemctl enable fail2ban
#查看被ban IP，其中sshd为名称，比如上面的[wordpress]
fail2ban-client status sshd
#删除被ban IP
fail2ban-client set sshd delignoreip 192.168.111.111
#查看日志
tail /var/log/fail2ban.log
# 重启fail2ban使配置文件其生效-修改配置文件的时候记得重启
systemctl restart fail2ban

配置规则

新建jail.local来覆盖fail2ban的一些默认规则：

#新建配置
vi /etc/fail2ban/jail.local
#默认配置
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 86400
findtime = 600
maxretry = 5
#这里banaction必须用firewallcmd-ipset,这是fiewalll支持的关键，如果是用Iptables请不要这样填写
banaction = firewallcmd-ipset
action = %(action_mwl)s

ignoreip：IP白名单，白名单中的IP不会屏蔽，可填写多个以（,）分隔

bantime：屏蔽时间，单位为秒（s）

findtime：时间范围

maxretry：最大次数

banaction：屏蔽IP所使用的方法，上面使用firewalld屏蔽端口

防止SSH爆破

如果您还在使用默认SSH端口（22），可能每天都会被扫描，强烈建议先参考《Linux服务器之登录安全》加强服务器防护，或者可以使用fail2ban将恶意IP屏蔽。

继续修改jail.local这个配置文件，在后面追加如下内容：

[sshd]
enabled = true
filter  = sshd
port    = 22
action = %(action_mwl)s
logpath = /var/log/secure

[sshd]：名称，可以随便填写

filter：规则名称，必须填写位于filter.d目录里面的规则，sshd是fail2ban内置规则

port：对应的端口

action：采取的行动

logpath：需要监视的日志路径

到这一步，我们jail.local的规则看起来可能像下面这样子：

[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 86400
findtime = 600
maxretry = 5
banaction = firewallcmd-ipset
action = %(action_mwl)s
[sshd]
enabled = true
filter  = sshd
port    = 22
action = %(action_mwl)s
logpath = /var/log/secure

上面的配置意思是如果同一个IP，在10分钟内，如果连续超过5次错误，则使用Firewalld将他IP ban了。输入systemctl start fail2ban启动fail2ban来试试效果。

使用另一台服务器不断尝试连接SSH，并且不断的将密码输入错误，你会发现连续超过5次后直接连不上，说明IP被ban了，可以输入：fail2ban-client status sshd查看被ban的IP，如下截图。

防止CC攻击

这里仅以Nginx为例，使用fail2ban来监视nginx日志，匹配短时间内频繁请求的IP，并使用firewalld将其IP屏蔽，达到CC防护的作用。

#需要先新建一个nginx日志匹配规则
vi /etc/fail2ban/filter.d/nginx-cc.conf
#填写如下内容
[Definition]
failregex = <HOST> -.*- .*HTTP/1.* .* .*$
ignoreregex =

继续修改jail.local追加如下内容：

[nginx-cc]
enabled = true
port = http,https
filter = nginx-cc
action = %(action_mwl)s
maxretry = 20
findtime = 60
bantime = 3600
logpath = /usr/local/nginx/logs/access.log  #替换为nginx的日志地址

上面的配置意思是如果在60s内，同一IP达到20次请求，则将其IP ban 1小时，上面只是为了测试，请根据自己的实际情况修改。logpath为nginx日志路径。

防止Wordpress爆破

如果您经常分析日志会发现有大量机器人在扫描wordpress登录页面wp-login.php，虽然对方可能没成功，但是为了避免万一还是将他IP干掉为好。

需要先新建一个nginx日志匹配规则

vi /etc/fail2ban/filter.d/wordpress.conf

#填写如下内容
[Definition]
failregex = ^<HOST> -.* /wp-login.php.* HTTP/1\.."
ignoreregex =

继续修改jail.local追加如下内容：

[wordpress]
enabled = true
port = http,https
filter = wordpress
action = %(action_mwl)s
maxretry = 20
findtime = 60
bantime = 3600
logpath = /usr/local/nginx/logs/access.log  #替换为nginx日志地址

当然，别忘记输入systemctl restart fail2ban重启fail2ban使其生效。