云服务器Linux上配置Fail2ban防御暴力破解的完整指南

一、Fail2ban是什么？

Fail2ban是一款开源的入侵防御软件，通过监控系统日志文件（如/var/log/auth.log），检测恶意行为模式（如多次失败的登录尝试），并自动更新防火墙规则来阻止这些可疑IP地址。其主要特点包括：

• 实时监控系统日志
• 自动识别攻击模式
• 动态调整防火墙规则
• 支持多种服务（SSH, FTP, HTTP等）
• 高度可配置性

二、安装Fail2ban

在大多数Linux发行版上，安装Fail2ban非常简单：

# 对于Debian/Ubuntu系统
sudo apt update
sudo apt install fail2ban

# 对于CentOS/RHEL系统
sudo yum install epel-release
sudo yum install fail2ban

安装完成后，Fail2ban服务会自动启动。您可以通过以下命令检查服务状态：

sudo systemctl status fail2ban

三、基本配置

Fail2ban的主配置文件位于/etc/fail2ban/jail.conf。为避免升级时被覆盖，我们通常在/etc/fail2ban/jail.local中进行自定义配置：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

以下是一些关键配置项：

• ignoreip: 白名单IP，不会被封禁
• bantime: 封禁时长（秒）
• findtime: 检测时间窗口
• maxretry: 最大允许失败次数

四、配置SSH防护

要启用SSH防护，在jail.local中找到[sshd]段落并修改：

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 1h
findtime = 10m

此配置表示：如果在10分钟内同一IP有3次失败的SSH登录尝试，则该IP将被封禁1小时。

五、高级配置技巧

1. 邮件通知

配置Fail2ban在封禁IP时发送邮件通知：

destemail = your-email@example.com
sender = fail2ban@yourdomain.com
action = %(action_mwl)s

2. 自定义过滤器

如果需要监控特定应用程序的日志，可以创建自定义过滤器：

[application]
enabled = true
port = http,https
filter = application-filter
logpath = /var/log/application/access.log
maxretry = 5
bantime = 86400

3. 多阶段防护

对不同严重程度的攻击实施不同级别的防护：

[sshd-dos]
enabled = true
filter = sshd
logpath = /var/log/auth.log
maxretry = 10
findtime = 1m
bantime = 1d
action = %(action_)s

六、管理Fail2ban

启动/停止服务：

sudo systemctl start fail2ban
sudo systemctl stop fail2ban

查看被封禁IP：

sudo fail2ban-client status sshd

手动封禁/解封IP：

sudo fail2ban-client set sshd banip 192.168.1.100
sudo fail2ban-client set sshd unbanip 192.168.1.100

七、Fail2ban最佳实践

• 定期检查Fail2ban日志（/var/log/fail2ban.log）
• 将管理IP加入ignoreip白名单
• 考虑使用Fail2ban配合Cloudflare等CDN服务
• 定期更新Fail2ban到最新版本
• 监控Fail2ban服务运行状态