防止暴力破解尝试 – 使用 fail2ban 自动封禁可疑 IP

使用 fail2ban 自动封禁可疑 IP 是一个很好的安全措施。以下是设置 fail2ban 的步骤：安装 fail2ban：对于 Ubuntu 或 Debian：

   sudo apt-get update
   sudo apt-get install fail2ban

对于 CentOS：

   sudo yum install epel-release
   sudo yum install fail2ban

配置 fail2ban：创建一个本地配置文件：

   sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

编辑配置文件：

   sudo nano /etc/fail2ban/jail.local

设置基本参数：在 [DEFAULT] 部分设置：

   bantime = 3600  # 封禁时间（秒）
   findtime = 600  # 检测时间窗口（秒）
   maxretry = 5    # 最大尝试次数

为 Nginx 添加规则：在文件末尾添加：

   [nginx-limit-req]
   enabled = true
   filter = nginx-limit-req
   action = iptables-multiport[name=nginx-limit-req, port="http,https"]
   logpath = /var/log/nginx/error.log
   findtime = 600
   maxretry = 10
   bantime = 7200

创建过滤器：创建文件 /etc/fail2ban/filter.d/nginx-limit-req.conf：

   [Definition]
   failregex = limiting requests, excess:.* by zone.*client: <HOST>
   ignoreregex =

启动 fail2ban：

   sudo systemctl start fail2ban
   sudo systemctl enable fail2ban

检查状态：

   sudo fail2ban-client status

查看特定监控状态：

   sudo fail2ban-client status nginx-limit-req

手动解封 IP（如果需要）：

    sudo fail2ban-client set nginx-limit-req unbanip 123.123.123.123

注意事项：调整 maxretry 和 bantime 以适应您的需求。定期检查日志以确保规则正常工作。考虑为重要的 IP 地址（如您自己的）设置白名单。高级配置：设置邮件通知：在 jail.local 中添加：

   destemail = your@email.com
   sender = fail2ban@yourdomain.com
   action = %(action_mwl)s

自定义封禁动作：您可以修改 /etc/fail2ban/action.d/ 中的文件来自定义封禁行为。多个日志文件：如果您有多个日志文件，可以在 logpath 中使用通配符：

   logpath = /var/log/nginx/*error.log

持久化封禁：要使封禁在重启后仍然有效，可以使用 action_db 替代默认的 action。

原文 ---内容结束💞请分享---