fail2ban 是一款用于保护你的服务器免于暴力攻击的入侵保护软件。fail2ban 用 Python 写成，并广泛用于很多服务器上。fail2ban 可以扫描日志文件和 IP 黑名单来显示恶意软件、过多的密码失败尝试、web 服务器利用、wordpress 插件攻击和其他漏洞。 通过匹配日志的错误信息（正则式匹配）执行相应的屏蔽动作（一般情况下是防火墙），而且可以发送e-mail通知系统管理员！

fail2ban工作的原理是通过分析一定时间内的相关服务日志，将满足动作的相关IP利用iptables加入到dorp（丢弃）列表一定时间。

fail2ban 官方网址：http://www.fail2ban.org

fail2ban 源码地址：https://github.com/fail2ban/fail2ban

一、安装fail2ban

安装需要的环境：

Python2 >= 2.6 or Python >= 3.2 or PyPy

Linux >= 2.6.13

检查本机环境：

[root@ecs fail2ban]# python -V

Python 2.7.5

[root@ecs fail2ban]# uname -r

3.10.0-693.11.1.el7.x86_64

第一种方式---yum安装：

yum -y install epel-release

yum -y install fail2ban

第二种方式---源码安装：

1、下载安装包并解压

cd /tmp 

wget https://github.com/fail2ban/fail2ban/archive/0.10.4.tar.gz 

tar -xvzf 0.10.4.tar.gz

2、安装

cd /tmp/fail2ban-0.10.4/

python setup.py install

3、生成服务启动脚本并开机自启

cp  /tmp/fail2ban-0.10.4/files/redhat-initd  /etc/init.d/fail2ban

#设置fail2ban服务为自启动服务

systemctl enable fail2ban 

 #启动fail2ban服务

systemctl start fail2ban

安装完成后，

fail2ban的配置文件路径：/etc/fail2ban

自带的监狱配置文件：/etc/fail2ban/jail.conf(主配置文件，一般不做修改)

自定义的监狱配置文件：/etc/fail2ban/jail.local(在jail.local文件里配置的内容会覆盖jail.conf内容里相同的值。)

fail2ban的日志文件：/var/log/fail2ban.log

达到阈值之后的执行的动作的配置文件：   action.d/ 

包含所有的过滤规则：filter.d/

二、配置fail2ban实现防暴力破解

1、编辑配置文件 jail.local 

vim /etc/fail2ban/jail.local

 文件内容：

#defalut这里是设定全局设置，若下面的监控没有设置就以全局设置的值设置

[DEFAULT]

# 以空格分隔的列表，可以是 IP 地址、CIDR 前缀或者 DNS 主机名

# 用于指定哪些地址可以忽略 fail2ban 防御

ignoreip = 127.0.0.1 192.168.1.0/24 

# 客户端主机被禁止的时长（秒）

bantime = 86400

# 客户端主机被禁止前允许失败的次数

maxretry = 5

# 查找失败次数的时长（秒）

findtime = 600

# 配置用于发送警报邮件的邮件服务

mta = mail

[ssh-iptables]

# 是否开启

enabled = true

# 采用的过滤器

filter = sshd

# 采取的动作

action = iptables[name=SSH, port=ssh, protocol=tcp]

action = mail[name=SSH, dest=cherishpf@163.com]

# 针对的日志文件的路径

logpath = /var/log/secure

# ssh 服务的最大尝试次数

maxretry = 3

在这里需要注意一点就是：我们上面的action设置的时候，port=ssh，如果我们更改了sshd服务的端口号，需要在这里设置对应的端口号，否则配置不生效。

上面的配置意思是如果同一个IP，在10分钟内，如果连续超过3次错误，则使用Firewalld将他的IP ban了。

2、防暴力破解测试

在上面配置好了之后，我们需要让配置生效：

fail2ban-client reload

测试：使用另一台服务器不断尝试连接SSH，并故意连续输入错误密码3次，再进行登录时，会拒绝登录

可以输入：fail2ban-client status ssh-iptables查看被ban的IP，如下：

[root@ecs]# fail2ban-client status ssh-iptables

Status for the jail: ssh-iptables

|-filter

| |- File list: /var/log/secure    #日志文件路径

| |- Currently failed:0     #当前失败次数

| `- Total failed:3     #总失败次数

`-action

|- Currently banned:1     #当前禁止的ip数量

| `- IP list:122.112.133.252     #当前禁止的ip

`- Total banned:1     #禁止的ip总数

常用命令：

#启动

systemctl start fail2ban

#停止

systemctl stop fail2ban

#查看被ban IP，其中sshd为名称，比如上面的[ssh-iptables]

fail2ban-client status sshd

#删除被ban IP

fail2ban-client set sshd delignoreip 192.168.111.111

#如果上述命令出错，可尝试执行

fail2ban-client set sshd unbanip 192.168.111.111

#查看日志

tail -f /var/log/fail2ban.log

调试过滤器

运行以下命令查看fail2ban过滤器是否适用于特定日志文件:

fail2ban-regex  /var/log/example.error.log  /etc/fail2ban/filter.d/sshd.conf

输出将包含以下内容：

Results

=======

Failregex: 623 total

.........

Lines: 1733 lines, 345 ignored, 278 matched, 1110 missed

如果是零匹配，那么过滤器的正规表达式可能有问题。

总结

fail2ban已经内置很多匹配规则，位于filter.d目录下，包含了常见的SSH/FTP/Nginx/Apache等日志匹配，如果都还无法满足您的需求，您也可以自行新建规则来匹配异常IP。使用fail2ban + Firewalld来阻止恶意IP是行之有效的办法，可极大提高服务器安全。

参考：

https://www.cnblogs.com/operationhome/p/9184580.html

https://www.xiaoz.me/archives/9831