Linux防暴力破解设置:Fail2Ban配置全解析
Fail2ban并非开箱即用的安全开关,其防暴力破解能力完全依赖精准的手动配置:必须创建并正确编辑`jail.local`(而非直接改`jail.conf`),在`[sshd]`段中严格启用`enabled = true`、指定匹配系统日志路径(如Ubuntu用`/var/log/auth.log`、CentOS用`/var/log/secure`)、设置合理的`findtime`与`maxretry`组合,并确保`ignoreip`包含可信IP;验证绝不能只看`systemctl status`,而需通过`fail2ban-client status sshd`确认日志文件被识别且有封禁记录,并结合`iptables -L`实测拦截效果——90%的失效问题都源于日志路径错误、jail未启用或忽略自身IP这三大疏漏,调通后它静默而可靠,调不通则毫无声息。
fail2ban 不是“装上就自动防爆破”的开关,它默认不启用任何服务防护,必须显式开启并指定日志路径——否则 systemctl status fail2ban 显示 active,但实际对 sshd 完全无感。
jail.local 必须存在,且不能只改 jail.conf
fail2ban 启动时优先读取 /etc/fail2ban/jail.local;如果不存在,它会 fallback 到 jail.conf,但该文件在包升级时可能被覆盖。
直接编辑 jail.conf 是运维事故高发区。
- 用
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local创建基础副本 - 确保
[DEFAULT]段里有ignoreip = 127.0.0.1/8 ::1 YOUR_TRUSTED_IP(多个 IP 用空格分隔) bantime建议设为1h或86400(秒),避免用600这类易混淆的数字单位findtime和maxretry要匹配:比如findtime = 10m+maxretry = 5,比findtime = 600+maxretry = 3更易读、不易错
CentOS/RHEL 系日志路径是 /var/log/secure,Ubuntu/Debian 是 /var/log/auth.log——配错路径,fail2ban 就像瞎子。
[sshd] 段里 enabled = true 是硬性前提
很多用户改完参数重启服务,发现攻击 IP 依然畅通无阻,根本原因是 [sshd] 下没写 enabled = true,或写成了 enable = true(少一个 d)。
- 必须确保该段以
[sshd]开头(不是[ssh]或[ssh-iptables]) - 必须包含
enabled = true(注意是布尔值,不是字符串"true") filter = sshd表示使用/etc/fail2ban/filter.d/sshd.conf的正则规则,别手误改成sshlogpath必须与系统实际日志位置一致,否则fail2ban-client status sshd会显示Number of detected files: 0
fail2ban-client 是唯一可信的验证手段
别信 systemctl status fail2ban 的 “active (running)” ——它只说明进程活着,不说明规则生效。
- 查看是否加载了
sshdjail:fail2ban-client status - 查看具体 jail 状态:
fail2ban-client status sshd,输出中要有Number of detected files: 1和Currently banned: X - 手动触发一次封禁测试(从另一台机器连续输错 SSH 密码 5 次),再执行:
sudo iptables -L -n | grep ^REJECT,应看到类似REJECT all -- 192.168.1.100 0.0.0.0/0 reject-with icmp-host-prohibited的规则
backend = auto 大多数情况够用,但若服务器启用了 systemd-journald 且没开 ForwardToSyslog=yes,auto 可能 fallback 到轮询模式,延迟升高;此时可显式设为 systemd。
fail2ban 的核心逻辑极简:日志行匹配 → 计数 → 达阈值 → 执行 action → 到期清理。所有问题几乎都卡在「日志路径不对」「jail 没 enable」「ignoreip 漏写自己 IP」这三处。调通之后,它很稳;调不通时,它一声不吭。
今天关于《Linux防暴力破解设置:Fail2Ban配置全解析》的内容介绍就到此结束,如果有什么疑问或者建议,可以在golang学习网公众号下多多回复交流;文中若有不正之处,也希望回复留言以告知!
JavaScript类型转换与检测技巧
- 上一篇
- JavaScript类型转换与检测技巧
- 下一篇
- MuleRun如何制作内部培训文档
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 543次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 516次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 500次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 485次学习
-
- ljg-skills
- ljg-skills 是李继刚开源的 AI 技能与提示词集合,面向大模型使用者整理了一批可复用的 prompt、角色设定和任务技能模板,适合用于学习提示词设计、搭建个人 AI 工作流和沉淀团队常用智能体能力。
- 2150次使用
-
- MELO音乐
- MELO音乐是一站式AI视频与音乐制作助手,对标suno, udio的高品质体验。提供伴奏生成、原创写词、无损导出、哼唱识曲、混音变声等全套音频与短视频编辑工具。无论是流行Kpop、电音说唱、民谣古风、摇滚儿歌还是商用轻音乐,MELO为你免费谱曲,轻松做同款!
- 1993次使用
-
- UniScribe
- UniScribe 是一款 AI 音视频转文字与内容整理工具,支持上传音频、视频文件或粘贴 YouTube 链接,自动生成转写文本、摘要、思维导图和关键问题,并支持多格式导出,适合会议记录、课程学习、访谈整理和内容创作复盘。
- 1935次使用
-
- 剧云
- 剧云是专业中文剧本创作平台,安全稳定运行十余年,集成AI编剧、剧本医生审核、人物小传、剧情关系图、大纲编写、多人协作、Word导入导出、版权管控功能,数据安全防护,轻松高效创作剧本。
- 2142次使用
-
- 万象有声
- 万象有声,一个专为有声创作者打造的新一代智能有声内容创作平台。平台提供专业的智能拆章、智能画本编辑、AI配音、AI生成音效、后期制作、智能对轨、智能审听等有声创作全流程工具,可以帮助创作者高效、低成本创作出引人入胜的有声作品。立即体验,让有声书制作更简单!
- 2120次使用
-
- Linux搭建vsftpdFTP服务器教程
- 2026-04-30 501浏览
-
- Shell脚本安装教程:.sh一键安装指南
- 2026-03-16 501浏览
-
- Linux清空文件内容的几种方法
- 2025-12-01 501浏览
-
- Linux命令行下载文件技巧
- 2025-11-23 501浏览
-
- Linuxapt与yum配置技巧全解析
- 2025-09-23 501浏览
