如何在CentOS上设置Fail2Ban

• Fail2Ban简介
• 安装Fail2Ban
• 配置Fail2Ban设置
• 配置Fail2Ban保护SSH
• 启动Fail2Ban服务
• 如何跟踪失败的登录尝试

Fail2Ban简介

缺省情况下，客户端使用端口22连接到SSH。由于这是众所周知的端口，因此默认配置容易受到许多蛮力攻击。Fail2Ban是一种自动保护服务器免受这些攻击的解决方案。该程序在后台运行，扫描日志文件以检测正在攻击的IP，并自动禁止它们访问SSH。

安装Fail2Ban

在本教程中，我们将通过EPEL存储库在CentOS 6上安装Fail2Ban。运行以下命令。

yum install epel-release
yum install fail2ban

说明

• yum install epel-release：安装EPEL信息库（Enterprise Linux的额外软件包）。
• yum install fail2ban：从EPEL存储库安装Fail2Ban。

配置Fail2Ban设置

打开Fail2Ban配置文件。

nano /etc/fail2ban/jail.conf

在文件中，您将看到一些参数，如下所示。根据您的需要调整任何值。

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

说明

• ignoreip：请勿禁止与该列表中的地址匹配的主机。可以使用空格分隔符定义多个地址。在此行上写下您的个人IP。
• bantime：禁止主机的秒数。
• findtime：如果主机maxretry在最后一个期间生成，则禁止该主机findtime。
• maxretry：禁止主机之前的失败次数。

配置Fail2Ban保护SSH

首先，我们需要创建一个配置文件。

nano /etc/fail2ban/jail.local

复制下面的行并将其粘贴到文件中。

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, [email protected]]
logpath  = /var/log/secure
maxretry = 5

• enabled：激活保护。如果要关闭它，请将值更改为false。
• filter：默认情况下，它设置为sshd，它引用文件/etc/fail2ban/filter.d/sshd.conf。
• action：Fail2Ban将禁止与过滤器匹配的IP /etc/fail2ban/action.d/iptables.conf。如果以前曾经更改过SSH端口，请更改port=ssh为新端口，例如port=2222。如果使用端口22，则无需更改该值。
• logpath：Fail2Ban使用的日志文件的路径。
• maxretry：失败登录尝试的最大次数。

启动Fail2Ban服务

在下面运行以下两个命令以启动Fail2Ban服务：

chkconfig --level 23 fail2ban on
service fail2ban start

最后，检查iptables它是否具有Fail2Ban添加的规则。

iptables -L

结果将类似于此输出。

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

如何跟踪失败的登录尝试

您可以使用此命令来检查服务器是否尝试登录失败（可能的攻击）。

cat /var/log/secure | grep 'Failed password'

结果将类似于这些行。

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

要查看哪些IP被禁止，请使用以下命令。

iptables -L -n

要从禁止列表中删除IP地址，请运行以下命令。更改banned_ip为要取消禁止的IP。

iptables -D f2b-SSH -s banned_ip -j DROP