安裝和配置fail2ban在CentOS上並不復(fù)雜，主要包括以下步驟：1. 使用yum安裝fail2ban；2. 手動(dòng)啟用並啟動(dòng)服務(wù)；3. 創(chuàng)建jail.local文件進(jìn)行自定義配置；4. 設(shè)置SSH防禦規(guī)則，包括啟用sshd、指定封禁時(shí)間與重試次數(shù)；5. 配置firewalld作為動(dòng)作執(zhí)行器；6. 定期檢查封禁IP及日誌。 Fail2ban通過(guò)監(jiān)控日誌檢測(cè)異常登錄行為並自動(dòng)封禁可疑IP，其核心機(jī)制依賴(lài)於bantime（封禁時(shí)間）、findtime（統(tǒng)計(jì)窗口時(shí)間）和maxretry（最大失敗次數(shù)）等關(guān)鍵參數(shù)的設(shè)置。使用默認(rèn)配置文件結(jié)構(gòu)時(shí)應(yīng)優(yōu)先創(chuàng)建.local文件而非修改.conf文件以避免配置丟失。對(duì)於SSH防護(hù)，只需在jail.local中啟用sshd模塊並調(diào)整相關(guān)參數(shù)即可生效。同時(shí)，為確保封禁規(guī)則正確應(yīng)用，需將banaction設(shè)置為firewallcmd-rich-rules以適配firewalld。用戶(hù)可通過(guò)iptables命令或fail2ban日誌查看當(dāng)前封禁狀態(tài)，並根據(jù)需要擴(kuò)展其他服務(wù)的防護(hù)規(guī)則。

Fail2ban 是一款非常實(shí)用的入侵防禦工具，它通過(guò)監(jiān)控系統(tǒng)日誌來(lái)檢測(cè)異常登錄行為（比如多次失敗嘗試），並自動(dòng)封禁可疑IP 地址。在CentOS 上安裝和配置fail2ban 並不復(fù)雜，但需要一些基本操作。

安裝Fail2ban

CentOS 默認(rèn)倉(cāng)庫(kù)中通常已經(jīng)包含了fail2ban，所以可以直接用yum 安裝：

• 運(yùn)行命令： sudo yum install fail2ban
• 安裝完成後，fail2ban 服務(wù)默認(rèn)不會(huì)自動(dòng)啟動(dòng)，你需要手動(dòng)啟用並啟動(dòng)服務(wù)：
  • sudo systemctl enable fail2ban
  • sudo systemctl start fail2ban

你可以用systemctl status fail2ban檢查服務(wù)狀態(tài)是否正常運(yùn)行。

基本配置文件結(jié)構(gòu)

Fail2ban 的主配置文件是/etc/fail2ban/jail.conf ，但官方推薦不要直接修改這個(gè)文件，而是創(chuàng)建一個(gè).local文件進(jìn)行自定義設(shè)置：

• 創(chuàng)建或編輯配置文件： sudo vi /etc/fail2ban/jail.local
• 在這個(gè)文件中可以覆蓋jail.conf 中的設(shè)置，例如更改ban 時(shí)間、重試次數(shù)等。

常見(jiàn)基礎(chǔ)配置項(xiàng)包括：

• bantime ：封禁時(shí)間（單位秒）
• findtime ：多長(zhǎng)時(shí)間內(nèi)的失敗嘗試會(huì)被統(tǒng)計(jì)
• maxretry ：最大失敗嘗試次數(shù)
• ignoreip ：可添加白名單IP，避免誤封自己或其他可信來(lái)源

配置SSH 防禦規(guī)則

SSH 是最常見(jiàn)的攻擊入口之一，fail2ban 默認(rèn)就包含了一個(gè)針對(duì)SSH 的過(guò)濾規(guī)則，只需要啟用即可。

在jail.local中加入或確認(rèn)以下內(nèi)容：

 [sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
maxretry = 5
bantime = 86400

這段配置的意思是：

• 啟用sshd 規(guī)則
• 使用默認(rèn)的SSH 日誌路徑（通常是/var/log/secure ）
• 如果某個(gè)IP 在設(shè)定時(shí)間內(nèi)失敗超過(guò)5 次，就會(huì)被封禁一天（86400 秒）

你也可以根據(jù)自己的安全需求調(diào)整參數(shù)。

使用防火牆（Firewalld）作為動(dòng)作執(zhí)行器

CentOS 7 及以上版本默認(rèn)使用firewalld 作為防火牆管理工具，fail2ban 支持直接通過(guò)firewalld 來(lái)封禁IP。

確保你的jail.local 中有如下配置：

 banaction = firewallcmd-rich-rules

這樣fail2ban 就會(huì)使用rich rules 來(lái)添加臨時(shí)封禁規(guī)則，不需要重啟防火牆就能生效。

如果你想查看當(dāng)前被封禁的IP，可以用下面這條命令：

• sudo iptables -L -n | grep banned

或者檢查fail2ban 自己的日誌：

• sudo cat /var/log/fail2ban.log

基本上就這些。安裝完後記得定期檢查日誌和封禁情況，必要時(shí)可以擴(kuò)展其他服務(wù)的防護(hù)規(guī)則，比如防止FTP 或HTTP 暴力破解。雖然步驟不多，但有些細(xì)節(jié)容易忽略，比如配置文件位置、firewalld 動(dòng)作設(shè)置，一旦搞錯(cuò)可能影響封禁效果。

以上是如何在CentOS上安裝和配置失敗2BAN？的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！