我是 fail2ban 的新手。我想设置 Fail2Ban,使其在两次登录尝试失败后禁止某个 IP 一小时。我的设置如下:
/etc/fail2ban/jail.local.conf
[DEFAULT]
bantime = 3600
maxretry = 2
backend = systemd
usedns = warn
mode = normal
destemail = <MYEMAIL>
sender = <MYSENDER>
protocol = tcp
chain = <known/chain>
port = 0:65535
fail2ban_agent = Fail2Ban/%(fail2ban_version)s
...
# Choose default action. To change, just override value of 'action' with
# the interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_mw)s
[sshd]
# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
#mode = normal
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
[dropbear]
port = ssh
logpath = %(dropbear_log)s
backend = %(dropbear_backend)s
[selinux-ssh]
port = ssh
logpath = %(auditd_log)s
我systemctl status fail2ban.service看到服务已启动。我假设它正在使用 jail.local.conf 文件。没有报告任何错误。我没有iptables安装。这有必要吗?如果需要,我该如何使用现有的 fail2ban 设置进行设置?
答案1
我想迟做总比不做好,所以如果有人像我一样偶然发现这个问题,我会发布一个答案。
你需要 iptables 吗?
基本上,是的, 你需要iptables. 至少为了让 fail2ban 正常工作。
只需使用apt-get install iptables即可实现这一点。
如何设置你的 fail2ban 监狱?
现在来讨论第一个问题。
基本上,要设置您的 fail2ban 以使其正常运行(正确安装后),您需要复制该文件jail.conf并编辑该文件。然后重新加载服务以使其根据您的设置运行。
我将在下面详细说明,但首先:安装 fail2ban。
- 文件副本
jail.conf:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
- 现在您有了副本,请进行所需的编辑,然后保存编辑并退出文件。
nano /etc/fail2ban/jail.local
例如,您可以添加自己的 IP 以防止被锁定。
为此,找到[DEFAULT]行,在其下方,找到以 开头的行#ignoreip,取消注释,然后粘贴您的 IP(以空格分隔)。
- 现在一切就绪,只需重新启动 fail2ban。为此,只需使用以下命令。
service fail2ban restart
您可以使用以下命令检查jail的状态:
fail2ban-client status sshd
答案2
您的文件名称错误。fail2ban 将读取名为 的文件jail.local,而不是jail.local.conf。重命名该文件并重新启动 fail2ban。