fail2ban防暴力破解[nginx][sshd]

介绍：fail2ban是一款实用软件，可以监视你的系统日志，然后匹配日志的错误信息（正则式匹配）执行相应的屏蔽动作。
ps:需要开启防火墙
安装fail2ban
系统环境Centos6
[root@localhost ~]# yum -y install wget
[root@node1 ~]# wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo
[root@node1 ~]# yum -y install fail2ban
系统环境Centos7
[root@localhost ~]# wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
[root@localhost ~]# yum -y install fail2ban
fail2ban 结构:

/etc/fail2ban                  ## fail2ban 服务配置目录
/etc/fail2ban/action.d     ## iptables 、mail 等动作文件目录
/etc/fail2ban/filter.d       ## 条件匹配文件目录，过滤日志关键内容
/etc/fail2ban/jail.conf     ## fail2ban 防护配置文件
/etc/fail2ban/fail2ban.conf   ## fail2ban 配置文件，定义日志级别、日志、sock 文件位置等

下面进行配置防暴力规则
配置nginx服务401错误状态码
[root@node1 ~]# cd /etc/fail2ban/
[root@node1 fail2ban]# cp jail.conf jail.conf.bak
在文件最后添加配置
[root@node1 fail2ban]# vim jail.conf

[nginx]
enabled = true       # 是否开启防护，false 为关闭
port = http     #对应的端口如http=80 https=443 也可以写8088,809等
filter = nginx  # 访问规则定义文件，位置在 /etc/fail2ban/filter.d/nginx.conf
logpath = /var/logs/nginx/access.log   #nginx访问日志
bantime = 3600   # 非法 IP 被屏蔽时间（秒），-1 代表永远封锁
findtime = 90    # 设置多长时间（秒）内超过 maxretry 限制次数即被封锁
maxretry = 3   # 最大尝试次数
ignoreip =192.168.1.1/24 ## 不受限制的 IP或网段，多组用空格分割

新建nginx.conf文件
[root@node1 fail2ban]# vim /etc/fail2ban/filter.d/nginx.conf

[Definition]
failregex = <HOST> -.*- .*HTTP/1.* 401 .*$
ignoreregex =

如果不知道自己需要过滤的状态码如404等可以使用下面的配置

[Definition]
failregex =<HOST>.*-.*-.*$ # <HOST> 表示访问 IP ，这里没有要匹配精确的URL，只是限制访问次数
ignoreregex =

[root@node1 fail2ban]# fail2ban-regex /var/logs/nginx/access.log /etc/fail2ban/filter.d/nginx.conf # 可以测试条件规则是否可用
[root@node1 fail2ban]# service fail2ban start #启动服务
[root@node1 ~ 15:15:26]# fail2ban-client status nginx #查看nginx实列的监控
Status for the jail: nginx
|- Filter
| |- Currently failed: 1
| |- Total failed: 73
| - File list: /var/logs/nginx/access.log- Actions
|- Currently banned: 0
|- Total banned: 2
`- Banned IP list:
[root@node1 ~ 15:15:32]#
也可以通过防火墙进行查看

解除限制
[root@node1 /etc/fail2ban 18:24:23]# fail2ban-client set nginx unbanip 192.168.1.181
防止sshd被暴力破解密码
[root@node1 /etc/fail2ban 11:02:37]# vim jail.conf

[sshd]
enabled = true
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
findtim = 3600
bantime = 90
maxretry = 3   #条件根据自己需求进行设置即可

[root@node1 fail2ban]# service fail2ban restart
效果图：

解除限制
[root@node1 /etc/fail2ban 18:24:23]# fail2ban-client set sshd unbanip 192.168.200.181
添加开机自启动
chkconfig --add fail2ban