Ubuntu服务器fail2ban的使用

作用：限制ssh远程登录，防止被人爆破服务器，封禁登录ip

使用lastb命令可查看到登录失败的用户及ip，无时无刻的不在爆破服务器

目录

一、安装fail2ban

二，配置fail2ban封禁ip的规则

1，进入目录并创建sshd.local文件

2，在sshd.local里写入以下内容

三、运行fail2ban

1，启动服务

2，设置开机自启动

3，查看状态

4，查看当前状态报告

5，解封ip

---

一、安装fail2ban

sudo apt install fail2ban

二，配置fail2ban封禁ip的规则

1，进入目录并创建sshd.local文件

cd /etc/fail2ban/jail.d
vi sshd.local

2，在sshd.local里写入以下内容

[sshd]
enable = true
maxretry = 3
findtime = 1h
bantime = 3h
ignoreip = 192.168.31.1

参数含义：

• enable = true: 启用对sshd服务的保护，即当满足触发条件时会对IP地址进行封禁。
• maxretry = 3: 允许尝试登录的最大次数，超过这个次数会触发封禁机制。
• findtime = 1h: 触发封禁的时间窗口，即在这个时间段内累积超过maxretry次登录失败会被封禁。
• bantime = 3h: 封禁的时间，即被封禁IP地址被阻止访问服务的时间长度。
• ignoreip = 192.168.31.1: 指定不需要被fail2ban封禁的IP地址，即对该IP地址的登录失败次数不会计入封禁机制。

三、运行fail2ban

1，启动服务

sudo systemctl start fail2ban

2，设置开机自启动

sudo systemctl enable fail2ban

3，查看状态

sudo fail2ban-client status

4，查看当前状态报告

fail2ban-client status sshd

Total failed: 表示当前登录失败的数量

Total banned: 表示当前封禁的ip数量

Banned IP list: 表示具体封禁的ip有哪些

5，解封ip

sudo fail2ban-client set sshd unbanip 222.10.31.33

 表示从已封禁的ip中解封222.10.31.33