fail2ban防御SSH破解

 

apt-get install fail2ban -y

编辑配置文件

vi /etc/fail2ban/jail.conf

[DEFAULT]

# 以空格分隔的列表，可以是 IP 地址、CIDR 前缀或者 DNS 主机名

# 用于指定哪些地址可以忽略 fail2ban 防御

ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24 192.168.0.0/24

 

# 客户端主机被禁止的时长（秒）

bantime = 86400

 

# 客户端主机被禁止前允许失败的次数 

maxretry = 5

 

# 查找失败次数的时长（秒）

findtime = 600

 

mta = sendmail

 

[ssh-iptables]

enabled = true

filter = sshd

action = iptables[name=SSH, port=ssh, protocol=tcp]

sendmail-whois[name=SSH, dest=your@email.com, sender=fail2ban@email.com]

# Debian 系的发行版 

logpath = /var/log/auth.log

# Red Hat 系的发行版

logpath = /var/log/secure

# ssh 服务的最大尝试次数 

maxretry = 3

重启

service fail2ban restart

设置监控写入日志

tail -f /var/log/fail2ban.log

由于使用iptable禁止ip访问，我们可以查看iptable的防火墙规则

iptables --list -n

解锁特定ip地址

iptables -D fail2ban-SSH -s XXX.XXX.XXX.XXX -j DROP

设置自启动

sudo systemctl enable fail2ban