今天分享一下如何通過Fail2Ban防止SSH暴力破解。

隨著服務(wù)器暴露在公網(wǎng)，SSH 暴力破解攻擊越來越常見。攻擊者通過不斷嘗試用戶名和密碼試圖登錄你的服務(wù)器，這不僅威脅安全，還可能拖慢系統(tǒng)性能。

1. 什么是 Fail2Ban？

Fail2Ban 是一款開源入侵防御工具，它可以實時監(jiān)控日志文件，一旦檢測到暴力破解行為（如多次登錄失?。?，就會自動使用防火墻（如 firewalld）將攻擊者 IP 臨時或永久封禁。

2. 安裝 Fail2Ban

環(huán)境信息：

• 系統(tǒng)版本：Rocky Linux 8 / 9
• SSH 登錄端口：默認(rèn) 22（如你自定義端口，請注意替換）
• 默認(rèn) SSH 日志路徑：/var/log/secure

Rocky Linux 默認(rèn)沒有內(nèi)置 Fail2Ban，需要啟用 EPEL 倉庫：

# 啟用 EPEL 倉庫
dnf install epel-release -y

# 安裝 Fail2Ban
dnf install fail2ban -y

安裝完成后，F(xiàn)ail2Ban 的核心文件路徑為：

配置目錄：/etc/fail2ban
服務(wù)名：fail2ban

3. 配置 Fail2Ban 保護 SSH

Fail2Ban 的默認(rèn)配置文件為 /etc/fail2ban/jail.conf，請不要直接修改，我們應(yīng)該創(chuàng)建一個新的配置文件：

vim /etc/fail2ban/jail.local

推薦配置如下：

[DEFAULT]
ignoreip = 127.0.0.1/8 ::1         # 忽略本地 IP
bantime = 1h                       # 封禁時間（1 小時）
findtime = 10m                    # 查找時間窗（10 分鐘）
maxretry = 5                      # 最大失敗次數(shù)（超出則封禁）
backend = systemd                 # 使用 systemd 讀取日志
banaction = firewallcmd-ipset     # 使用 firewalld 封禁 IP

[sshd]
enabled = true                    # 啟用 SSH 防護
port = ssh                        # 監(jiān)控的端口（或自定義端口號）
logpath = %(sshd_log)s            # 自動識別 /var/log/secure
filter = sshd                     # 使用默認(rèn) sshd 篩選規(guī)則

參數(shù)說明：

• ignoreip：允許的 IP 地址（比如你家/公司白名單 IP）
• bantime：封禁時長，可設(shè)置為 -1 實現(xiàn)永久封禁
• findtime + maxretry：在 findtime 時間內(nèi)失敗超過 maxretry 次，就封禁
• banaction：配合 firewalld 封 IP
• backend = systemd：Rocky 使用 systemd 管理日志，比傳統(tǒng)文件讀取更穩(wěn)定

4. 啟動并啟用 Fail2Ban

啟動并設(shè)置開機自啟：

systemctl enable --now fail2ban

設(shè)置開機自動啟動：

systemctl enable fail2ban

啟用防火墻 firewalld：

systemctl enable --now firewalld

查看運行狀態(tài)：

systemctl status fail2ban

查看 Fail2Ban 狀態(tài)：

fail2ban-client status

查看 sshd Jail 的詳細(xì)狀態(tài)：

fail2ban-client status sshd

剛安裝還沒有被封禁的IP，接下來手動進行封禁。

5. 手動封禁與解封 IP

封禁某 IP：

fail2ban-client set sshd banip 10.0.0.111

現(xiàn)在可以查看到10.0.0.111被封禁了。

通過10.0.0.111是無法登錄10.0.0.110的，因為已經(jīng)被封禁。

解封某 IP：

fail2ban-client set sshd unbanip 10.0.0.111

解封后順利登錄10.0.0.110

【溫馨提示】我是設(shè)置firewalld進行封禁IP的，必須保證firewalld是運行中的，不然無法進行禁用。

6. 附加建議

除了使用 Fail2Ban，還有一些硬核建議：

修改 SSH 默認(rèn)端口： 編輯 /etc/ssh/sshd_config，例如：

Port 2222

然后重啟 SSH 服務(wù)。

禁止 root 登錄：

PermitRootLogin no

僅允許特定 IP 登錄 SSH： 利用 firewalld：

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="你的IP" port protocol="tcp" port="22" accept'
firewall-cmd --reload

根據(jù)安全要求，F(xiàn)ail2Ban 幾乎是必裝工具。如果你還沒配置，趕快動手試試吧！