fail2ban 的安裝配置

      fail2ban  是 Linux 上的一個著名的***保護的開源框架，它會監控多個系統的日志文件（例如：/var/log/auth.log 或者 /var/log/secure）并根據檢測到的任何可疑的行為自動觸發不同的防御動作。在基本的安全方面，fail2ban 在防御對SSH服務器的暴力密碼破解上非常有用。

       接下來就說一下基本的配置：

1.下載源

下載合適的安裝包

2.yum 安裝

yum install -y fail2ban

3.啟動

service fail2ban start

4.fail2ban 的設定檔在這里

服務配置目錄 ：/etc/fail2ban/

/etc/fail2ban/action.d #動作文件夾，內含默認文件。iptables以及mail等動作配置

/etc/fail2ban/fail2ban.conf #定義了fai2ban日志級別、日志位置及sock文件位置

/etc/fail2ban/filter.d #條件文件夾，內含默認文件。過濾日志關鍵內容設置

/etc/fail2ban/jail.conf #主要配置文件，模塊化。主要設置啟用ban動作的服務及動作閥值

/etc/rc.d/init.d/fail2ban #啟動腳本文件

5.配置

vim /etc/fail2ban/jail.conf

[DEFAULT]

# "ignoreip" 可以是個 IP 地址， 無類別域間路由（Classless Inter-Domain Routing、CIDR）或者 DNS 地址。

# Fail2ban 不會禁用匹配到的 IP。

# 多個地址可以用空格來分割。

ignoreip = 127.0.0.1

# "bantime" 就是拉黑時間，按秒算。

bantime = 3600

# "findtime" 就是一個 IP 在此間隔內會被算入重試次數。如 600 時則是 10 分鐘內再登陸將把重試次數 +1，超過 10 分鐘后則從頭開始算。

# 按秒算。

findtime = 600

# "maxretry" 就是最大重試次數。如 3 則失敗 3 次就禁止登陸。

maxretry = 3

#日志檢測機器，有"gamin", "polling" and "auto"三種模式。

backend = auto

enabled = true

[ssh-iptables] #啟用

filter = sshd

# 這里的 port=ssh 是默認的 SSH 端口，如果你修改了的話這里也要改，比如 port=213

action = iptables[name=SSH, port=ssh, protocol=tcp]

sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]

logpath = /var/log/secure

maxretry = 5

6.查看iptbales

[root@ fail2ban]# iptables -L

Chain INPUT (policy ACCEPT)

target prot opt source destination

f2b-SSH tcp -- anywhere anywhere tcp dpt:ssh

7.查看日志

tail/var/log/fail2ban.log