fail2Ban ssh防爆破解

最新推荐文章于 2025-06-05 15:11:37 发布
最新推荐文章于 2025-06-05 15:11:37 发布
阅读量509 收藏 10
点赞数 4
CC 4.0 BY-SA版权
文章标签: linux 服务器 ssh 运维 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28776313/article/details/148372540

Fail2Ban是服务器安全的基础工具,通过动态IP封禁有效抵御暴力破解。其轻量、灵活的特性适合各类环境,但需配合系统级加固(如防火墙、密钥登录)才能发挥最大效果。建议定期审计规则并关注社区更新,以应对新型攻击手法。

一、核心功能与特点

 

入侵防御

   - 

实时监控系统日志(如 

"/var/log/secure"、

"/var/log/auth.log"),通过正则表达式匹配恶意行为(如多次登录失败)。

   - 

自动封禁攻击者IP:调用防火墙(如 

"iptables"、

"firewalld"、

"UFW")动态封锁IP,支持自定义封禁时长。

多服务支持

   - 

默认防护SSH、FTP、Apache、Nginx等常见服务,可通过配置扩展至Web应用(如WordPress)、邮件服务等。

通知机制

   - 

支持邮件告警(需配置SMTP服务),推送封禁详情及攻击者IP的WHOIS信息。

灵活性

   - 

允许自定义过滤规则(

"filter.d"目录)、封禁动作(

"action.d"目录)和封禁策略(如动态调整封禁时长)。

 

二、性能特点

 

低资源占用:基于Python开发,日志分析效率高,对系统负载影响小。

高效正则匹配:优化日志解析算法,但复杂正则可能增加CPU开销(需合理设计规则)。

扩展性:支持分布式部署,可通过Docker容器化运行(如 

"crazy-max/docker-fail2ban" 镜像)。

 

三、下载与安装

 

官方资源

 

官网:"fail2ban.org" (http://www.fail2ban.org)

GitHub仓库:"github.com/fail2ban/fail2ban" (https://github.com/fail2ban/fail2ban)

Windows版:"Fail2Ban4Win" (https://github.com/Aldaviva/Fail2Ban4Win)(第三方移植)

 

安装方式

 

Linux安装步骤

 

包管理器安装(推荐):

系统 命令

Debian/Ubuntu 

"sudo apt update && sudo apt install fail2ban"

CentOS/RHEL 

"sudo yum install epel-release && sudo yum install fail2ban"

Fedora 

"sudo dnf install fail2ban"                                         

源码安装:

wget https://github.com/fail2ban/fail2ban/archive/refs/tags/1.0.2.tar.gz

tar -xzvf fail2ban-1.0.2.tar.gz

cd fail2ban-1.0.2

python setup.py install

启动服务:

sudo systemctl enable --now fail2ban # 启用并立即启动

sudo systemctl status fail2ban # 检查状态

 

Windows安装步骤

 

下载 "Fail2Ban4Win" (https://github.com/Aldaviva/Fail2Ban4Win/releases) 的ZIP包。

解压至 

"C:\Program Files (x86)\Fail2Ban4Win"。

以管理员身份运行PowerShell:

Set-ExecutionPolicy RemoteSigned -Scope Process -Force

& 'C:\Program Files (x86)\Fail2Ban4Win\Install Service.ps1'

服务安装后,通过 服务管理器 启动 

"Fail2Ban4Win"。

 

四、核心参数说明(

"jail.conf" 或 

"jail.local")

 

参数 说明 示例值

 

"ignoreip" 信任IP白名单(不封禁) 

"127.0.0.1/8 192.168.1.0/24"

 

"bantime" 封禁时长(单位:

"s"秒、

"m"分钟、

"h"小时、

"d"天、

"-1"永久) 

"3600"(1小时)

 

"findtime" 检测时间窗口(此时间内失败达到阈值则封禁) 

"600"(10分钟)

 

"maxretry" 最大失败尝试次数 

"3"

 

"logpath" 监控的日志路径(SSH默认为 

"/var/log/secure" 或 

"/var/log/auth.log") 

"/var/log/nginx/error.log"

 

"action" 封禁动作(

"iptables"、

"ufw"、

"mail"通知组合等) 

"%(action_mwl)s"(封禁+邮件+日志)

 

"port" 监控的端口(SSH默认为22) 

"2222"(自定义端口)

 

配置示例(SSH防护) :

[sshd]

enabled = true

port = ssh

filter = sshd

logpath = /var/log/secure

maxretry = 3

bantime = 1d

 

五、附加建议

 

强化SSH安全

   - 

修改默认端口(如 

"Port 2222")。

   - 

禁用密码登录,改用SSH密钥认证 。

防火墙协同

   - 

云服务器需同步配置安全组规则,避免Fail2Ban与云防火墙冲突。

日志优化

   - 

使用 

"fail2ban-regex" 测试自定义规则,避免误封。

   - 

定期清理日志(如 

"logrotate"),防止磁盘占满。

高可用设计

   - 

针对高频攻击场景,可结合 Cloudflare IP黑名单 或 分布式防火墙 。

定期维护

   - 

检查封禁记录:

"sudo fail2ban-client status sshd" 。

 

Fail2Ban是服务器安全的基础工具,通过动态IP封禁有效抵御暴力破解。其轻量、灵活的特性适合各类环境,但需配合系统级加固(如防火墙、密钥登录)才能发挥最大效果。建议定期审计规则并关注社区更新,以应对新型攻击手法。

 

Fail2Ban工具简介与使用
墨痕诉清风的博客
04-23 1352
Fail2Ban 是一款入侵防御软件,可以保护服务器免受暴力攻击。它是用 Python 编程语言编写的。Fail2Ban 基于auth 日志文件工作,默认情况下它会扫描所有 auth 日志文件,如等,并禁止带有恶意标志的IP,比如密码失败太多,寻找漏洞等等标志。通常,Fail2Ban 用于更新防火墙规则,用于在指定的时间内拒绝 IP 地址。它也会发送邮件通知。Fail2Ban 为各种服务提供了许多过滤器,如ssh、apache。
基于Fail2ban及iptables的SSH端口爆破防御方案
钟言的博客
07-15 3083
本篇为基于Fail2ban及iptables的SSH端口爆破防御方案,详细内容包含了:、本篇介绍 Fail2ban 1、简介 2、工作方式 3、优缺点 4、工作原理 5、目录结构 6、功能特点 更改默认SSH端口 1、更改配置文件 2、重启服务 四、SSH日志审计 1、连接失败的IP 2、失败IP次数排行 3、连接成功的IP 4、成功IP次数排行 五、Fail2ban1、安装 2、配置 3、日志查看4、命令补充 5、与1panel联动配置 六、蜜罐伪造22端口等内容。
Fail2Ban 简介与使用
热门推荐
xiaoboliu0602的博客
02-12 1万+
目录 1. Fail2Ban 简介 2. Fail2Ban 安装配置与日常维护 3. Fail2Ban 目录结构 4. jail.conf 配置项说明 5. sshd.local 自定义配置项 6. mail-whois.conf 自定义动作 1. Fail2Ban 简介 Fail2Ban 是一款入侵防御软件,可以保护服务器免受暴力攻击。 它是用 Python 编程语言编写的。 Fail2Ban 基于auth 日志文件工作,默认情况下它会扫描所有 auth 日志文件,如 /var/log/auth.log
Fail2Ban防御HTTP恶意请求:原理与实战配置指南
最新发布
weixin_73725158的博客
06-05 889
Fail2Ban通过监控系统日志(如Nginx/Apache访问日志),使用正则表达式匹配恶意行为(如高频404错误、暴力登录尝试),触发临时封禁规则(通过iptables/firewalld)。在Web服务面临频繁的扫描攻击、暴力破解或DDoS试探时,Fail2Ban作为一款轻量级入侵防御工具,可通过动态封禁恶意IP,显著降低服务器风险。本文结合HTTP场景,解析其配置与优化策略。通过Fail2Ban的精细化配置,可有效遏制针对HTTP服务的自动化攻击。匹配日志中连续404的IP,触发封禁。
Fail2ban详细教程,解决网站被扫描、CC攻击、ssh暴力破解、防爬虫等问题
w710537643的博客
02-12 1万+
最近网站总是被高频度扫描,导致数据库连接过多,打开页面报“Error establishing a database connection“错误。最开始写了个监控网站的脚本,一旦发现网站打不开,重启数据库就好了。但是这几天网站挂掉的频率越来越高,不得不开始寻找新的办法了。 对于网站被恶意扫描、暴力破解、CC 攻击这一系列攻击,都有相似的特征,即高频率发请求导致主机资源使用率飙高。对于这些问题,必须要做两件事,一个是识别恶意发请求的 IP,并封禁;二个是实现网站缓存、静态化等功能减少数据库查询。今天介...
fail2ban 防止暴力破解密码
Ccccxc的博客
05-31 1695
由于服务器被暴力攻击破解,并被植入了Xmrig挖矿程序,因此安装部署 fail2ban 服务用于抵御暴力工具,并封禁攻击者 IP。本文简要介绍了在 unRAID 服务器中如何安装配置 fail2ban 服务,并简单测试和展示封禁效果
linux运维工具:用于防止暴力破解攻击的安全工具fail2ban详解
weixin_70208651的博客
04-01 1200
它通过监控系统日志文件,检测到多次失败的登录尝试后,自动将攻击者的 IP 地址加入防火墙的黑名单中,从而阻止其进一步访问系统。当检测到恶意 IP 地址时,Fail2ban 会自动更新防火墙(如 iptables 或 nftables)规则,阻止该 IP 的进一步访问。当检测到多次失败的登录尝试后,fail2ban 会自动将攻击者的 IP 地址加入防火墙的黑名单中,阻止其进一步访问。在高流量的服务器上,频繁的日志监控可能会对系统性能产生一定影响,建议根据实际情况调整监控频率和规则。
科普文:软件架构Nginx系列之【辅助神器Fail2Ban
为无为,事无事,味无味。
08-25 1429
Fail2Ban 是一个日志解析应用程序,可保护基于 Linux 的 Web 服务器免受许多安全威胁,例如字典、DoS、DDoS 和暴力攻击,它通过监视系统日志中的任何恶意活动并扫描文件以查找与已识别模式匹配的任何条目来工作。如果 Fail2Ban 检测到登录尝试失败的高峰,它会自动将新的防火墙规则添加到您的 iptables 并在指定时间或无限期阻止源地址。安装 Fail2Ban 可帮助服务器所有者自动减少任何非法活动。每当发生攻击时,它还会通过电子邮件向他们发出警报。
SSH防暴力破解工具Fail2ban部署指导书
qq_17846323的博客
04-23 1471
linux操作系统防爆破解工具
Fail2ban 防爆破解
Peak_Gerry的博客
10-24 524
fail2ban的简单介绍 Fail2ban 能够监控系统日志,匹配日志中的错误信息(使用正则表达式),执行相应的屏蔽动作(支持多种,一般为调用 iptables ),是一款很实用、强大的软件。 如:攻击者不断尝试穷举 SSH 、SMTP 、FTP 密码等,只要达到预设值,fail2ban 就会调用防火墙屏蔽此 IP ,并且可以发送邮件通知系统管理员。 功能、特性: 1、支持大量服务:sshd 、...
服务器(Ubuntu)防暴力破解初步配置123
蜉蝣于天地
08-13 1540
服务器基本上都会先配置一下sshfail2ban,增强系统的安全性。流程简单记录一下,或许可以帮到一些新人。
fail2ban使用教程
weixin_52345129的博客
07-09 1618
白名单操作 IP 加入白名单:fail2ban-client set nginx addignoreip 192.168.1.8 IP 从白名单中移除:fail2ban-client set nginx delignoreip 192.168.1.8 在所有监禁中加入IP 白名单:fail2ban-client unban 192.168.1.8。findtime:设置匹配时间间隔,单位为秒,即从日志中匹配条目,若指定时间内匹配到 maxretry 项设置的条目数量时,将会执行封禁IP动作;
EvlWatcher:Windows的“ fail2ban”样式的模块化日志文件分析器
05-14
什么是EvlWatcher? 对于Windows来说,这基本上是一个fail2ban。 它的目标也主要是我们对fail2ban的喜爱: 预配置 没有最初的他妈的脚本或配置文件 一劳永逸 您可以下载(v.2.1.1-2021年1月)。 另外,我们喜欢问题! 如果有人需要任何东西或对某事有疑问,请随时提出问题。 我们非常高兴收到关于我们不回应的日志输入示例的问题,或者关于如何支持更多协议的想法。 有关EvlWatcher的功能的详细说明。 场景:那里有坏人,用暴力手段破坏您的服务(RDP和其他)。 您可以在Windows事件日志中清楚地看到它们及其IP。 您已经在网上搜索了,是的,有很多工具,脚本以及所有这些可以读取事件日志并自动禁止攻击者IP。 但是,您很懒。 您需要使用诸如fail2ban之类的东西,它具有一组预配置的规则,可以立即运行,并且可以正常运行。 但是,如果您愿意,
WinFail2Ban-开源
05-02
WinFail2ban扫描日志文件/事件查看器,并禁止IP导致太多密码失败。
ubuntu安装配置fail2ban
weixin_44960490的博客
03-18 1275
ubuntu 安装配置 Fail2Ban
使用 Fail2ban 防止 ssh 暴力破解攻击
三成的博客
09-20 1551
安全防护
服务器安全神器,Linux 上安装 Fail2Ban 保护 SSH
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
12-10 2030
IIRC,DenyHosts 只会监视您的 SSH 服务。如果您还需要它来保护其他服务,Fail2ban 绝对是更好的选择。如果您愿意调整其配置,它几乎可以配置为监视任何服务,但这不是必需的,因为较新版本的 Fail2ban 包含适用于许多流行服务器守护程序的规则集。在简单的 iptables 速率限制上使用 fail2ban 的好处是可以在指定的时间内完全阻止攻击者,而不是简单地降低他攻击你的服务器的速度。我在许多生产服务器上使用过 fail2ban 并取得了很好的效果,并且自从我开始使用它以来从未见过其
如何使用 Fail2Ban 防止 SSH 暴力破解攻击
2409_89014517的博客
03-01 500
如何使用 Fail2Ban 防止 SSH 暴力破解攻击
WEB 主机安全防护(Fail2ban + firewalld)_防止渗透猜解
Neviller_Ma的博客
08-04 1721
WEB 主机安全防护(Fail2ban + firewalld)
fail2ban ssh
05-06
fail2ban是一个用于防止暴力破解攻击的开源软件。它监视系统日志文件以查找恶意行为,例如在SSH中使用错误的密码或登录失败。如果它检测到多个失败的尝试,它将动态地更新防火墙规则以禁止来自该IP地址的进一步访问。这可以有效地保护您的服务器免受暴力攻击。 对于SSHfail2ban通过使用正则表达式来查找日志文件中的登录尝试和失败,并根据您的配置来设置防火墙规则。通过fail2ban,您可以设置允许几次密码输入失败,以及禁止IP地址的时间长度等。 总之,fail2ban是一个非常有用的工具,可以帮助您保护服务器不受暴力破解攻击的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT摆渡者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值