如何在 Linux 服务器上安装 fail2ban

如何在 Linux 服务器上安装和配置 Fail2ban

如何在 Linux 服务器（ubuntu/debian）中安装和配置 fail2ban，具体方法是在 ubuntu 上使用 fail2ban conf 并进行配置，然后在服务器上安装 fail2ban。 Fail2ban 可以监控恶意活动和可疑活动，同时禁止和阻止 IP 地址，从而真正保护和帮助 Linux 服务器的安全。
重要的是要知道如何正确安装或配置 fail2ban，以便在您的服务器上顺利工作，不出现任何问题。要求：Debian / Ubuntu 其他 Linux（配置命令将有所不同）注意：您不能在共享主机中使用 fail2ban，您需要在我们的VPS 托管或 Alexhost 的专用服务器中使用，这是使用它的最佳服务。

什么是 Fail2ban？

Fail2Ban 是一款日志解析应用程序，通过监控日志文件中的恶意活动，并自动采取行动封禁或阻止与可疑行为相关的 IP 地址，从而增强 Linux 服务器的安全性。它的主要目的是保护服务器免受各种类型的攻击，尤其是那些试图通过暴力手段获取未经授权访问权的攻击。了解如何在服务器中正确安装 Fail2Ban非常重要。

以下是 Fail2Ban 的一般工作原理：

监控日志文件：Fail2Ban 会持续监控指定的日志文件，以发现表明潜在安全威胁的模式。这些日志文件包括与验证尝试相关的文件，如 SSH 的 /var/log/auth.log 或 Apache 的 /var/log/apache2/error.log。
过滤规则：Fail2Ban 使用预定义或用户配置的过滤规则来识别日志条目中的特定模式。这些模式通常表示登录尝试失败、密码猜测或其他可疑活动。
匹配模式：当日志条目与预定义模式匹配时，Fail2Ban 会将其视为 “失败 “或 “匹配”。过滤器旨在识别常见的攻击模式，如来自同一 IP 地址的重复失败登录尝试。
禁止操作：在一定数量的匹配条目（由最大重试设置配置）后，Fail2Ban 会采取行动封禁违规 IP 地址。封禁的持续时间由 bantime 设置决定。这种临时封禁会增加攻击者访问的难度，有助于挫败自动攻击。
监狱：Fail2Ban 将其监控和禁止配置组织成称为 “监狱 “的单元。每个监狱对应一个或一组特定的服务。例如，SSH 可能有一个监狱，Apache 可能有另一个监狱，等等。每个监狱的配置，包括过滤器和禁令设置，都在 Fail2Ban 配置文件中定义。
状态和交互：系统管理员可以检查 Fail2Ban 的状态，查看被禁用的 IP 地址，并在需要时手动解禁。Fail2Ban 还会记录其操作，为管理员提供被禁用 IP 地址和相关事件的历史记录。

Fail2Ban 可以自动封禁有恶意行为的 IP 地址，帮助保护服务器免受暴力破解攻击、密码猜测和其他安全威胁。它是增强 Linux 服务器整体安全态势的重要工具。不过，必须根据具体环境对 Fail2Ban 进行适当配置，并定期查看日志以确保其功能正常。

### 步骤 1：如何安装 Fail2Ban

在 Ubuntu 或 Debian 服务器上打开终端，运行以下命令：

sudo apt update

# ##ATP_NOTR_2_CODE_TAG_NOTR_ATP#####

### 第 2 步：配置 Fail2Ban

创建默认配置文件的副本：

###ATP_notr_3_code_tag_notr_ATP####

用文本编辑器打开 `jail.local`# 文件。您可以使用 ##ATP_NOTR_18_CODE_TAG_NOTR_ATP### 或 ##ATP_NOTR_19_CODE_TAG_NOTR_ATP###：

##ATP_NOTR_4_CODE_TAG_NOTR_ATP###。

在 `jail.local` 文件中配置基本设置。以下是一些常用选项：

–bantime：禁止 IP 的时间（秒）。默认为 10 分钟（600 秒）：时间窗口（以秒为单位），在该时间窗口内必须出现一定数量的失败，才会被禁用：禁用前允许的失败次数。 示例：

[DEFAULT]

##ATP_NOTR_6_CODE_TAG_NOTR_ATP### ##ATP_NOTR_7_CODE_TAG_NOTR_ATP### ##ATP_NOTR_8_CODE_TAG_NOTR_ATP### 4.为希望 Fail2Ban 监控的特定服务设置过滤器。过滤器在 ##ATP_NOTR_21_CODE_TAG_NOTR_ATP### 文件的 ##ATP_NOTR_22_CODE_TAG_NOTR_ATP### 部分中定义。常见的服务包括 SSH (##ATP_NOTR_23_CODE_TAG_NOTR_ATP##)、Apache (##ATP_NOTR_24_CODE_TAG_NOTR_ATP###) 和 Nginx (##ATP_NOTR_25_CODE_TAG_NOTR_ATP##)。

SSH 示例

###atp_notr_9_code_tag_notr_atp### ##atp_notr_10_code_tag_notr_atp### ##atp_notr_11_code_tag_notr_atp### ##atp_notr_12_code_tag_notr_atp### ##atp_notr_13_code_tag_notr_atp### ##atp_notr_14_code_tag_notr_atp####

注意：确保 ##ATP_NOTR_26_CODE_TAG_NOTR_ATP### 和 ##ATP_NOTR_27_CODE_TAG_NOTR_ATP### 与您的特定配置相匹配。

保存 `jail.local` 文件并退出文本编辑器。

### 第三步：重启 Fail2Ban

更改配置后，重启 Fail2Ban 以应用新设置：

sudo systemctl restart fail2ban

### 步骤 4：检查 Fail2Ban 状态

您可以使用以下方法检查 Fail2Ban 的状态：

sudo fail2ban-client status

这将显示有关监狱及其状态的信息。

### 步骤 5：测试 Fail2Ban

要测试 Fail2Ban 是否有效，可在受监控服务（如 SSH）上故意生成一些失败的登录尝试。在达到指定的 `maxretry` 值后，Fail2Ban 就会封禁相应的 IP 地址。请记住，请根据您的 Ubuntu 或 Debian 系统和服务配置调整这些说明。请务必考虑设置的安全影响，并定期查看日志以发现任何意外行为。注意：在服务器中配置 Fail2ban 时，除非您确信自己在做什么，否则不要封禁端口 22，因为在这种情况下，您将封禁 SSH 默认端口。警告：Fail2ban 是保护 Linux 服务器的绝佳工具，但需要谨慎配置。为了避免被禁止，请将你的 IP 和其他你认为重要的 IP 列入白名单。如果不正确使用和配置 fail2ban，可能会导致失去与服务器的连接，因此了解如何在服务器（Ubuntu、Debian、CentOS 等）上安装 fail2ban非常重要。

Alexhost 满足您的愿望