一、Fail2Ban是什么？

Fail2Ban是一款开源的入侵防御软件，通过监控日志文件检测恶意行为（如暴力破解、扫描等），并自动封禁可疑IP地址。它支持多种服务（SSH、Apache、Nginx等），是服务器安全的第一道屏障。

二、安装Fail2Ban

1. 不同系统的安装方法

• Ubuntu/Debian: sudo apt-get install fail2ban
• CentOS/RHEL: sudo yum install fail2ban
• Arch Linux: sudo pacman -S fail2ban

2. 安装后验证

执行以下命令检查服务状态：

sudo systemctl status fail2ban

三、基础配置

1. 主配置文件

Fail2Ban的主配置文件通常位于/etc/fail2ban/jail.conf。建议创建jail.local进行自定义配置：

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

2. 常用配置参数说明

四、服务特定配置

1. 保护SSH服务

在jail.local中添加或修改以下内容：

[sshd]
enabled = true
port    = ssh
filter  = sshd
logpath = /var/log/auth.log
maxretry = 3

2. 保护Apache/Nginx

防止暴力破解Web应用：

[apache-auth]
enabled = true
port    = http,https
filter  = apache-auth
logpath = /var/log/apache2/error.log

[nginx-http-auth]
enabled = true
filter  = nginx-http-auth
logpath = /var/log/nginx/error.log

五、高级配置技巧

1. 自定义过滤规则

在/etc/fail2ban/filter.d/目录下创建自定义规则文件：

[Definition]
failregex = ^.*Authentication failure
ignoreregex =

2. 邮件通知配置

设置封禁通知：

destemail = your@email.com
sender = fail2ban@yourdomain.com
action = %(action_mwl)s

3. 多级防护策略

针对不同攻击强度设置不同封禁时间：

[recidive]
enabled  = true
filter   = recidive
logpath  = /var/log/fail2ban.log
action   = iptables-allports[name=recidive]
          sendmail-whois-lines[name=recidive, logpath=/var/log/fail2ban.log]
bantime  = 604800  ; 1周
findtime = 86400   ; 1天
maxretry = 3

六、日常管理与维护

1. 常用命令

• 启动/停止/重启服务: sudo systemctl start/stop/restart fail2ban
• 查看被封禁IP: sudo fail2ban-client status sshd
• 手动封禁IP: sudo fail2ban-client set sshd banip 192.168.1.100
• 解除封禁: sudo fail2ban-client set sshd unbanip 192.168.1.100

2. 日志查看

Fail2Ban日志位置：/var/log/fail2ban.log

3. 性能优化

对于高流量服务器，可以调整：

dbpurgeage = 86400  ; 清理1天前的数据库记录

七、常见问题解决

1. Fail2Ban不生效

检查：服务是否运行、日志路径是否正确、过滤规则是否匹配

2. 误封问题

解决方案：增加maxretry值、添加IP到ignoreip

3. 性能问题

减少监控的日志文件数量、优化过滤规则