暴露給Internet的任何服務都有遭受惡意軟件攻擊的風險。 例如，如果您在可公開訪問的網絡上運行服務，則攻擊者可以使用暴力手段嘗試登錄您的帳戶。

Fail2ban是一種工具，可通過監視服務日志中的惡意活動來幫助保護Linux機器免受暴力攻擊和其他自動攻擊。 它使用正則表達式來掃描日志文件。 對所有與模式匹配的條目進行計數，當它們的數量達到某個預定義的閾值時，Fail2ban會在特定時間段內使用系統firewall禁止有問題的IP。 禁止期限到期后，IP地址將從禁止列表中刪除。

本文介紹了如何在Ubuntu 20.04上安裝和配置Fail2ban。

在Ubuntu上安裝Fail2ban

Fail2ban軟件包包含在默認的Ubuntu 20.04存儲庫中。 要安裝它，請以root用戶或具有sudo特權的用戶身份輸入以下命令：sudo apt update

sudo apt install fail2ban

安裝完成后，Fail2ban服務將自動啟動。 您可以通過檢查服務狀態來驗證它：sudo systemctl status fail2ban

輸出將如下所示：● fail2ban.service - Fail2Ban Service

Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; vendor preset: enabled)

Active: active (running) since Wed 2020-08-19 06:16:29 UTC; 27s ago

Docs: man:fail2ban(1)

Main PID: 1251 (f2b/server)

Tasks: 5 (limit: 1079)

Memory: 13.8M

CGroup: /system.slice/fail2ban.service

└─1251 /usr/bin/python3 /usr/bin/fail2ban-server -xf start

此時，您已在Ubuntu服務器上運行Fail2Ban。

Fail2ban配置

默認的Fail2ban安裝帶有兩個配置文件/etc/fail2ban/jail.conf和/etc/fail2ban/jail.d/defaults-debian.conf。 不建議修改這些文件，因為更新軟件包時它們可能會被覆蓋。

Fail2ban按以下順序讀取配置文件。 每個.local文件都會覆蓋.conf文件中的設置：/etc/fail2ban/jail.conf

/etc/fail2ban/jail.d/*.conf

/etc/fail2ban/jail.local

/etc/fail2ban/jail.d/*.local

對于大多數用戶而言，配置Fail2ban的最簡單方法是將jail.conf復制到jail.local并修改.local文件。 更高級的用戶可以從頭開始構建.local配置文件。 .local文件不必包括相應.conf文件中的所有設置，僅包括您要覆蓋的設置。

從默認jail.conf文件創建一個.local配置文件：sudo cp /etc/fail2ban/jail.{conf,local}

要開始為Fail2ban服務器配置，請使用文本編輯器打開jail.local文件sudo nano /etc/fail2ban/jail.local

該文件包含說明每個配置選項功能的注釋。 在此示例中，我們將更改基本設置。

將IP地址列入白名單

您要排除在外的IP地址，IP范圍或主機添加到ignoreip指令中。 在這里，您應該添加您的本地PC IP地址和您要列入白名單的所有其他計算機。

取消注釋以ignoreip開頭的行，并添加以空格分隔的IP地址：

/etc/fail2ban/jail.localignoreip = 127.0.0.1/8 ::1 123.123.123.123 192.168.1.0/24

禁令設置

bantime，findtime和maxretry選項的值定義了禁止時間和禁止條件。

bantime是禁止使用IP的持續時間。 如果未指定后綴，則默認為秒。 默認情況下，bantime值設置為10分鐘。 通常，大多數用戶都希望設置更長的禁止時間。 根據您的喜好更改值：

/etc/fail2ban/jail.localbantime = 1d

要永久禁止IP，請使用負數。

findtime是設置禁令前的失敗次數之間的持續時間。 例如，如果將Fail2ban設置為在五次失敗之后禁止IP(maxretry，請參見下文)，則這些失敗必須在findtime持續時間內發生。

/etc/fail2ban/jail.localfindtime = 10m

maxretry是禁止IP之前失敗的次數。 默認值設置為5，對于大多數用戶來說應該可以。

/etc/fail2ban/jail.localmaxretry = 5

電子郵件通知

Fail2ban可以在IP被禁止時發送電子郵件警報。 要接收電子郵件，您需要在服務器上安裝SMTP并更改默認操作，該操作僅將IP禁止為%(action_mw)s，如下所示：

/etc/fail2ban/jail.localaction = %(action_mw)s

%(action_mw)s禁止有問題的IP，并發送包含Whois報告的電子郵件。 如果要在電子郵件中包含相關日志，請將操作設置為%(action_mwl)s。

您還可以調整發送和接收電子郵件地址：

/etc/fail2ban/jail.localdestemail = admin@myfreax.com

sender = root@myfreax.com

Fail2ban Jails

Fail2ban使用Jails的概念。 Jails描述了一項服務，其中包括過濾器和操作。 計算與搜索模式匹配的日志條目，并在滿足預定條件時執行相應的操作。

Fail2ban附帶許多用于不同服務的Jails。 您還可以創建自己的Jails配置。

默認情況下，僅啟用ssh Jails。 要啟用Jails，您需要在Jails標題后添加enabled = true。 以下示例顯示了如何啟用proftpd Jails：

/etc/fail2ban/jail.local[proftpd]

port = ftp,ftp-data,ftps,ftps-data

logpath = %(proftpd_log)s

backend = %(proftpd_backend)s

我們在上一節中討論的設置可以針對每個Jails進行設置。 這是一個例子：

/etc/fail2ban/jail.local[sshd]

enabled = true

maxretry = 3

findtime = 1d

bantime = 4w

ignoreip = 127.0.0.1/8 23.34.45.56

篩選器位于/etc/fail2ban/filter.d目錄中，存儲在與Jails名稱相同的文件中。 如果您具有自定義設置并具有使用正則表達式的經驗，則可以微調過濾器。

每次編輯配置文件時，都需要重新啟動Fail2ban服務才能使更改生效：sudo systemctl restart fail2ban

Fail2ban客戶端

Fail2ban附帶了一個名為fail2ban-client的命令行工具，可用于與Fail2ban服務進行交互。

要查看所有可用選項，請使用-h選項調用命令：fail2ban-client -h

此工具可用于禁止/取消禁止IP地址，更改設置，重新啟動服務等等。 以下是一些示例：

檢查Jails狀況：sudo fail2ban-client status sshd

取消IP權限：sudo fail2ban-client set sshd unbanip 23.34.45.56

禁止IP：sudo fail2ban-client set sshd banip 23.34.45.56

結論

我們向您展示了如何在Ubuntu 20.04上安裝和配置Fail2ban。

有關此主題的更多信息，請訪問Fail2ban文檔。

如果您有任何疑問，請隨時在下面發表評論。

總結

以上是生活随笔為你收集整理的ubuntu使用fail2ban_如何在Ubuntu 20.04上安装和配置Fail2ban的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。