一、Fail2Ban是什么？

Fail2Ban是一个开源的入侵防御软件，通过监控系统日志文件（如/var/log/auth.log）来检测恶意行为，并自动更新防火墙规则以阻止可疑IP地址。其主要功能包括：

• 自动检测SSH暴力破解尝试
• 防御Web应用的暴力登录攻击
• 防止端口扫描和DDoS攻击
• 支持自定义规则和过滤条件

二、安装Fail2Ban

1. Ubuntu/Debian系统

sudo apt update
sudo apt install fail2ban -y

2. CentOS/RHEL系统

sudo yum install epel-release -y
sudo yum install fail2ban -y

3. 启动并设置开机自启

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

三、基本配置详解

Fail2Ban的主配置文件位于/etc/fail2ban/jail.conf。建议不要直接修改此文件，而是创建/etc/fail2ban/jail.local进行自定义配置：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

关键配置参数说明：

• ignoreip：白名单IP，不会被封禁
• bantime：封禁时长（默认10分钟）
• findtime：检测时间窗口（默认10分钟）
• maxretry：最大尝试次数（默认5次）

示例SSH保护配置：

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 1h

四、高级配置技巧

1. 保护其他服务

除了SSH，Fail2Ban还可以保护：

• Nginx/Apache Web服务器
• MySQL/PostgreSQL数据库
• WordPress等CMS系统

2. 邮件通知配置

[DEFAULT]
destemail = your@email.com
sender = fail2ban@yourdomain.com
action = %(action_mwl)s

3. 使用Cloudflare API自动封禁

对于使用Cloudflare的网站，可以配置Fail2Ban直接通过API封禁恶意IP：

[cloudflare]
action = cloudflare
cfuser = your@email.com
cfkey = your_cloudflare_api_key

五、故障排查与常用命令

1. 查看封禁状态

sudo fail2ban-client status
sudo fail2ban-client status sshd

2. 手动封禁/解封IP

sudo fail2ban-client set sshd banip 192.168.1.100
sudo fail2ban-client set sshd unbanip 192.168.1.100

3. 日志分析

sudo tail -f /var/log/fail2ban.log