关于Fail2ban

Fail2ban可以监视你的系统日志，然后匹配日志的错误信息（正则式匹配）执行相应的屏蔽动作（一般情况下是调用防火墙屏蔽）

例如:当有人在试探你的HTTP、SSH、SMTP、FTP密码，只要达到你预设的次数，fail2ban就会调用防火墙屏蔽这个IP，而且可以发送e-mail通知系统管理员，是一款很实用、很强大的安全工具

在外网环境下，有很多的恶意扫描和密码猜测等恶意攻击行为，使用Fail2ban配合iptables/firewalld，实现动态防火墙是一个很好的解决方案

如下图所示，这是一台云主机，查看/var/log/secure可以看到有外网IP一直在进行SSH暴力破解

下面在CentOS7云主机部署Fail2ban阻断SSH暴力破解

1、配置epel源

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
sed -i -e '/mirrors.cloud.aliyuncs.com/d' -e '/mirrors.aliyuncs.com/d' /etc/yum.repos.d/CentOS-Base.repo

2、yum方式安装fail2ban

yum install fail2ban

3、配置fail2ban

默认情况下，Fail2Ban 将所有配置文件保存在 /etc/fail2ban/ 目录中。

主配置文件是 jail.conf，它包含一组预定义的过滤器。所以，不要编辑该文件，这是不可取的，因为只要有新的更新，配置就会重置为默认值。

只需在同一目录下创建一个名为 jail.local 的新配置文件，并根据您的意愿进行修改

修改如下几处

ignoreip = 127.0.0.1/8 ::1
bantime  = 300
findtime  = 300
maxretry = 8

参数解释

#ignoreip：本部分允许我们列出 IP 白名单地址列表，Fail2Ban 不会禁止与列表中的地址匹配的主机

#bantime：主机被禁止的秒数

#findtime：如果在最近 findtime 秒期间已经发生了 maxretry 次重试，则主机会被禁止

#maxretry：是主机被禁止之前的失败次数

Fail2Ban 带有一组预定义的过滤器，用于各种服务，如 ssh、apache、nginx、squid、named、mysql、nagios 等。

不需要对配置文件进行任何更改，只需在服务区域中添加 enabled = true 这一行就可以启用任何服务。

禁用服务时则将 true 改为 false 即可

修改配置文件中sshd段如下两处

enabled = true
port    = 8322

参数解释

#enabled：确定服务是打开还是关闭。

#port：指明特定的服务。如果使用默认端口，则服务名称可以放在这里。如果使用非传统端口，则应该填写当前服务的端口号。

#logpath：提供服务日志的位置

#backend：指定用于获取文件修改的后端

4、启动fail2ban服务

启动fail2ban服务
systemctl start fail2ban.service
设置开机自启动fail2ban服务
systemctl enable fail2ban.service
查看fail2ban服务日志
tail -f /var/log/fail2ban.log

5、fail2ban相关命令用法

1)查看启用的监狱列表

 fail2ban-client status

2)运行以下命令来获取sshd服务被禁止的 IP 地址

fail2ban-client status sshd

或者

fail2ban-client get sshd banip

可以iptables -nvL看到防火墙联动生成、被禁止IP对应的拒绝规则

3)要从 Fail2Ban 中删除禁止的 IP 地址

fail2ban-client set ssh unbanip 104.218.13.80