1 背景
服务器经常遇到恶意爆破。使用fail2ban自动封禁多次密码输入错误的IP,降低服务器被攻破的风险。
2 做法
1、安装fail2ban。
sudo apt update
sudo apt install fail2ban
2、配置fail2ban
sudo vim /etc/fail2ban/jail.local
然后输入以下内容:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 10 # findtime时间内最大尝试次数
bantime = 86400 # 超过最大尝试次数后封禁时间,以秒为单位
findtime = 600 # 设置监测时间,以秒为单位。600表示统计连续10分钟内密码输入错误的次数
3、重启fail2ban
sudo systemctl restart fail2ban
4、查看状态
sudo fail2ban-client status sshd
注意
如果不正正常运行,执行以下命令
sudo apt-get update && sudo apt-get install -y rsyslog # Debian/Ubuntu
sudo systemctl enable --now rsyslog
# 等 1~2 分钟让日志开始写入,再继续
然后再次重启fail2ban即可恢复正常。