在上篇服务器被黑的文章中，有小伙伴在评论区评论了fail2ban这个工具，我到网上搜索使用了下，在这里交个试用作业。

fail2ban简介

以下内容翻译自官网:

Fail2ban扫描日志文件（例如/var/log/apache/error_log）并禁止具有危险信号的IP - 密码失败太多，寻找漏洞等等。通常，Fail2Ban用于更新防火墙规则以拒绝指定失败次数的IP地址，也可以配置任何其他任意行动（例如发送电子邮件）。开箱即用的Fail2Ban带有各种服务的过滤器（apache，courier，ssh等）。 Fail2Ban能够降低不正确的身份验证尝试的速度，但是它无法消除弱身份验证所带来的风险。如果您真的想要保护服务，请将服务配置为仅使用两个因素或公共/私有身份验证机制。

安装fail2ban

# yum install fail2ban

为服务器配置fail2ban

官网给出的建议是：不要直接修改.conf文件，而是新建一个.local文件，这些.local文件中的修改会覆盖.conf文件中内容。

# cd /etc/fail2ban
# cp jail.conf jail.local
# cp fail2ban.conf fail2ban.local

修改fail2ban.local文件

默认fail2ban的日志是写到SYSLOG中(/var/log/messages)的,这里改成推荐的/var/log/fail2ban.log

将 logtarget = SYSLOG 改为 logtarget = /var/log/fail2ban.log

修改jail.local文件

以下是个配置示例文件，可根据需要进行修改

[DEFAULT]
# 以空格分隔的列表，可以是 IP 地址、CIDR 前缀或者 DNS 主机名
# 用于指定哪些地址可以忽略 fail2ban 防御
ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24 192.168.0.0/24
# 客户端主机被禁止的时长（秒）
bantime = 86400
# 客户端主机被禁止前允许失败的次数
maxretry = 5
# 查找失败次数的时长(秒),在指定的10分钟内登录超过maxretry次数,它们将被禁止
findtime = 600
mta = sendmail
[ssh-iptables]
enabled = true
# 过滤器,默认设置为sshd,sshd引用/etc/fail2ban/filter.d/sshd.conf
filter = sshd
# 动作,将采取禁止匹配的IP的步骤. 每个操作都指向action.d目录(/etc/fail2ban/action.d/iptables.conf)的一个文件
action = iptables[name=SSH, port=ssh, protocol=tcp]
# 如果服务器设置了邮件服务器,可在禁止IP时发送邮件.默认引用/etc/fail2ban/action.d/sendmail-whois.conf的操作
# sendmail-whois[name=SSH, [email protected], [email protected]]
# Debian 系的发行版
logpath = /var/log/auth.log
# Red Hat 系的发行版
logpath = /var/log/secure
# ssh 服务的最大尝试次数
maxretry = 3