防范暴力破解攻击

Fail2Ban

Fail2Ban（Fail to Ban）是一种用于防范暴力破解攻击的开源软件。它的主要目标是通过监视系统日志文件，检测恶意行为（如多次登录失败、恶意IP地址等），并采取自动化的措施来阻止攻击者进一步访问系统。

以下是Fail2Ban的一些关键特性和工作原理：

• 监视日志文件： Fail2Ban通过分析系统的日志文件，特别是包含安全相关信息的文件，来检测潜在的入侵尝试。
• 定义规则： 用户可以定义自定义规则，告诉Fail2Ban在日志中搜索什么样的模式，并根据这些模式采取相应的行动。
• 动态封禁： 一旦Fail2Ban检测到恶意行为，它将采取措施来阻止攻击者的进一步访问。这通常涉及到在防火墙规则中添加临时的封锁规则。
• 可定制性： 用户可以根据自己的需求配置Fail2Ban，包括设置封锁的时间、阈值等参数。
• 支持多种服务： Fail2Ban不仅限于防范SSH攻击，还支持监视和防范多种服务的暴力破解攻击，如FTP、HTTP、SMTP等。

在配置Fail2Ban时，用户通常需要编辑配置文件，指定监视的日志文件、定义规则以及配置封锁行为。这有助于提高系统的安全性，减少潜在的入侵风险。

应用使用

## 安装
## 在Debian/Ubuntu系统上，使用apt安装
sudo apt-get update
sudo apt-get install fail2ban
## 在CentOS/RHEL系统上，使用yum安装
sudo yum install epel-release
sudo yum install fail2ban

## 配置Fail2Ban
## 备份默认配置文件
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
# 修改配置文件以适应你的需求。你可以定义监控的日志文件、封禁的时间、最大重试次数等。以下是一个简单的示例：
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

## 启动Fail2Ban
sudo systemctl start fail2ban
sudo systemctl enable fail2ban

##  检查Fail2Ban状态
fail2ban-client status

日常运维

## 重新加载Fail2Ban配置
fail2ban-client reload
## 查看Fail2Ban的状态：
fail2ban-client status
## 查看特定Jail的状态（例如，sshd）
fail2ban-client status sshd

## 手动解禁IP地址：
## 替换 <JAIL> 为相应的监控项名称，<IP_ADDRESS> 为需要解封的IP地址。
sudo fail2ban-client set <JAIL> unbanip <IP_ADDRESS>

## 显示Fail2Ban的版本信息：
sudo fail2ban-client version
## 检查Fail2Ban的配置文件：
fail2ban-client validate
## 强制重新读取Fail2Ban配置文件：
fail2ban-client reload
## 查看Fail2Ban日志：
tail -f -n 50 /var/log/fail2ban.log
journalctl -u fail2ban

cat > fail2ban-status.sh << EOF
fail2ban-client status | grep "Jail list:" | sed "s/ //g" | awk '{split($2,a,",");for(i in a) system("fail2ban-client status " a[i])}'
echo To unban an ip:
echo fail2ban-client set module-name unbanip x.x.x.x
EOF