目录
自己的阿里云经常被攻击迫于无奈
查看攻击状态 攻击防护
1 安装fail2ban
#安装fial2ban
yum -y install fail2ban
装成功后fail2ban配置文件位于/etc/fail2ban,其中jail.conf为主配置文件,相关的匹配规则位于filter.d目录,其它目录/文件一般很少用到。
2 配置
/etc/fail2ban
vim jail.local
[DEFAULT]
# 忽略的IP列表,不受设置限制
ignoreip = 127.0.0.1/8
# 被封IP禁止访问的时间,单位是秒
bantime = 86400
# 检测时间,在此时间内超过规定的次数会激活fail2ban,单位是秒
findtime = 300
# 允许错误登录的最大次数
maxretry = 3
# 日志修改检测机制(gamin、polling和auto这三种)
backend = auto
# 定义日志级别,默认
loglevel = 3
# 定义 fail2ban 日志文件
logtarget = /var/log/fail2ban.log
# sock 文件存放位置,默认
socket = /var/run/fail2ban/fail2ban.sock
# pid 文件存放位置,默认
pidfile = /var/run/fail2ban/fail2ban.pid
# 邮件通知参数
sendmail-whois[name=SSH, dest=you@example.com, sender=fail2ban@example.com, sendername="Fail2Ban"]
# 收件人地址 ## 发件人地址
[sshd]
# 激活
enabled = true
# 规律规则名,对应filter.d目录下的sshd.conf
filter = sshd
banaction = firewallcmd-new
# 检测的系统的登陆日志文件。这里要写sshd服务日志文件
logpath = /var/log/secure
# 禁止用户IP访问主机1小时
bantime = 3600
# 在5分钟内内出现规定次数就开始工作
findtime = 300
# 3次密码验证失败
maxretry = 3
port = 22
[sshd-ddos]
enabled = true
3启动
#启动
systemctl start fail2ban
#重新启动
systemctl restart fail2ban
#停止
systemctl stop fail2ban
#开机启动
systemctl enable fail2ban
#查看被ban IP,其中sshd为名称,比如上面的[wordpress]
fail2ban-client status sshd
#删除被ban IP
fail2ban-client set sshd delignoreip 192.168.111.111
#查看日志
tail /var/log/fail2ban.log
#查看被拦截的ip
fail2ban-client status sshd