Linux 安装 fail2ban_fail2bad离线安装

Linux 安装 fail2ban

fail2ban是一款入侵防御软件，能够运行在大多数Linux服务器上，保护计算机服务器免受暴力破解的攻击。fail2ban启动后会通过检测系统行为日志识别暴力破解行为，对于在短时间内多次未能通过身份验证的请求，fail2ban会自动调用系统自带的防火墙或包管理框架（如iptables或tcp wrapper等）进行封禁。

作者：炭烤毛蛋 ，点击博主了解更多。

---

提示:安装fail2ban之前，建议将ssh服务配置为通过密钥登录并禁止密码登录。

---

1. 安装 fail2ban

安装 fail2ban

sudo apt install fail2ban
1

启动 fail2ban 服务并设置开机自启

# 启动 fail2ban
sudo systemctl start fail2ban
# 设置 fail2ban 开机自启
sudo systemctl enable fail2ban
1
2
3
4

2. fail2ban 配置

安装后默认生成配置文件。更新Fail2ban时它们可能会被覆盖配置文件，不建议直接修改。

/etc/fail2ban/jail.d/defaults-debian.conf
/etc/fail2ban/jail.conf
1
2

按顺序读取配置文件，.conf 优先读取，但.local文件会覆盖 .conf 文件。

/etc/fail2ban/jail.conf
/etc/fail2ban/jail.d/*.conf
/etc/fail2ban/jail.d/*.conf
/etc/fail2ban/jail.d/*.local
1
2
3
4

2.1 IP访问白名单

不会从这些IP检测是否是恶意的访问，额外增加jail.local覆写jail.conf。

sudo cp /etc/fail2ban/jail.{conf,local}
sudo vi /etc/fail2ban/jail.local
# 增加忽略访问 IP
[DEFAULT]
ignoreip = 127.0.0.1/8 ::1 192.168.1.0/24
findtime = 60
maxretry = 5
bantime = -1
banaction = iptables-allports

[ssh]
enable = true
port = 22
filter = sshd
logpath = /var/log/auth.log
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

[DEFAULT] 属性介绍：
ignoreip是忽略访问禁止IP。通常会设置回环地址和网关地址。
bantime，findtime和maxretry选项的值定义了禁止时间和禁止条件。

bantime是禁止持续的时间。如果未指定后缀，则默认为秒。默认情况下，bantime值设置为10分钟。通常，大多数用户都希望设置更长的禁止时间。你也可以根据您的喜好更改值bantime的值，要永久禁止IP，请使用负数：
bantime = 2d

findtime是设置失败次数之间的持续时间。 例如，如果将Fail2ban设置为在尝试五次失败后禁止IP（请参见下文maxretry），则这些失败必须在findtime时间内发生，即10分钟完成5次失败的尝试。
findtime = 10m

maxretry是允许IP失败尝试次数。 默认值设置为5，对于大多数用户来说应该够用。
maxretry = 5

banaction是端口禁止条件，iptables-allports 是禁用所有端口。

[ssh] 配置条件介绍
enable = true 是启用 ssh 扫描判断
port = 22 ssh的端口，如 ssh 更换默认端口，需要修改为相应端口
fileter = sshd 启用sshd 扫描判断
logpath 日志存放是路径

2.2 IP访问黑名单

邮件通知 IP 禁用
Fail2ban可以在IP被禁止时发送电子邮件警报。 要接收电子邮件，您需要在服务器上安装SMTP并更改默认的action，该action操作仅将IP禁止为%(action_mw)s

action = %(action_mw)s

(action_mw)s将禁止有问题的IP，并发送包含Whois报告的电子邮件。 如果要在电子邮件中包含相关日志，请将操作设置为%(action_mwl)s。可以调整发送和接收电子邮件地址：
destemail = admin@myfreax.com
sender = root@myfreax.com

Fail2ban Jail
Fail2ban使用Jail的概念，jail直接翻译就是囚牢。 Jail描述如何检测服务的条件。其中服务是系统的任意服务，比如sshd服务，Vsftpd服务等。条件是包括过滤器和操作。计算符合搜索模式的日志记录，并在满足预定条件时执行相应的操作。
Fail2ban附带许多Jail作为示例，系统每一项服务都可以找到对应Jail配置。 您还可以创建自己的Jail配置。默认情况下，在CentOS 8上没有启用Jail。 要启用Jail，您需要在添加enabled = true。 以下示例显示了如何为sshd服务启用Jail：

[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
1
2
3
4
5

重新启动Fail2ban服务，以使更改生效：

sudo systemctl restart fail2ban
1

查看 sshd 服务状态

sudo fail2ban-client status sshd
1

解除IP限制

sudo fail2ban-client set sshd unbanip 23.45.67.89
1

锁定限制 IP

sudo fail2ban-client set sshd banip 23.45.67.89
1

查看禁用 IP 脚本

#!/bin/bash
bad_ip=` grep 'Failed password for root from' /var/log/secure|awk '{print $11,$1,$2}'|sort|uniq -c|awk '$1>4 {print $2}'|xargs`
	for ip in $bad_ip; do
		in_iptables=`iptables -nvL|grep $ip |wc -l`
		if [ $in_iptables -eq 0 ]; then
		iptables -I INPUT -s $ip -j REJECT
		service iptables save
	fi
done
1
2
3
4
5
6
7
8
9

3. 启动 fail2ban 失败情况分析

3.1 fail2ban 加载服务运行参数与系统不匹配

fail2ban [5639]: ERROR Failed during configuration: File contains no section headers.
1

原因：系统不支持systemctl,需要改为systemd启动。
解决方法：

[DEFAULT]
backend = systemd
1
2

Failed during configuration: Have not found any log file for sshd jail.
1

原因：应该是fail2ban默认开启ssh监控，却找不到ssh的日志。
解决方法同上。

3.2 fail2ban 加载服务启动参数错误

ExecStart=/usr/bin/fail2ban-server -xf start (code=exited, status=255/EXCEPTION)
running fail2ban-client -x start and you will get something descriptive.

fail2ban-client -x start
2024-03-26 09:33:05,641 fail2ban [10289]: ERROR Failed during configuration: While reading from '/etc/fail2ban/jail.local' [line 133]: option 'backend' in section 'DEFAULT' already exists
1
2
3
4
5

根据系统提示找到，backend参数，将原有 backend = auto 改为 systemd 启动正常。

结语

不枉博主详细讲解，欢迎订阅博主–炭烤毛蛋 。