安装fail2ban服务，防止用户暴力破解root密码.docx

安装fail2ban服务，防止用户暴力破解root密码（最多让试着登录5次，5次密码输错就封杀ip）

[root@bogon~]#ls

epel-release-6-8.noarch.rpm

[root@bogon~]#rpm-ivhepel-release-6-8.noarch.rpm#或yum-yinstallepel-release

[root@bogon~]#yuminstallfail2ban-y

复制jail.conf文件到jail.local：

[root@bogon~]#cp/etc/fail2ban/jail.conf/etc/fail2ban/jail.local

全局配置：

[root@bogon~]#vim/etc/fail2ban/jail.local

[DEFAULT]

#ignoreip=127.0.0.1172.31.0.0/2410.10.0.0/24192.168.0.0/24#根据需要添加,用于指定哪些地址可以忽略fail2ban防御

bantime=86400#修改,客户端主机被禁止的时长（秒）

maxretry=5#添加,客户端主机被禁止前允许失败的次数

findtime=600#添加,查找失败次数的时长（秒）

根据上述配置，fail2ban会自动禁止在最近10分钟内有超过5次访问尝试失败的任意IP地址。禁止时间是24个小时。

SSH防护配置：

在/etc/fail2ban/jail.d目录创建sshd.local防护配置文件（默认没有），内容添加如下：

[root@bogon~]#vim/etc/fail2ban/jail.d/sshd.local

[ssh-iptables]

enabled=true

filter=sshd

action=iptables[name=SSH,port=ssh,protocol=tcp]#默认ssh是22,若sshd端口号改变,如:可直接写:port=22115

logpath=/var/log/secure

maxretry=5

[root@bogon~]#/etc/init.d/fail2banstart

启动后查看iptables，如果看到类似如下说明服务已经正常在运行了

[root@bogon~]#iptables-L

ChainINPUT(policyACCEPT)

targetprotoptsourcedestination

f2b-SSHtcp--anywhereanywheretcpdpt:ssh

ChainFORWARD(policyACCEPT)

targetprotoptsourcedestination

ChainOUTPUT(policyACCEPT)

targetprotoptsourcedestination

Chainf2b-SSH(1references)

targetprotoptsourcedestination

RETURNall--anywhereanywhere

[root@bogon~]#ps-ef|grepfail2ban#查看进程

root15591020:04?00:00:00/usr/bin/python-Es/usr/bin/fail2ban-server-s/var/run/fail2ban/fail2ban.sock-p/var/run/fail2ban/fail2ban.pid-x-b

客户端输入错误密码用root在xshell登录，输入错误5次，即不能再输入密码登录，即：已经被防御，不能再登录。

进入服务器机器中查看当前被禁止登录的攻击IP：攻击IP是：192.168.14.1：命令是：#fail2ban-clientstatusssh-iptables

根据策略释放禁止登录的ip:命令是：#fail2ban-clientsetssh-iptablesunbanip192.168.14.1

服务器释放禁止登录的ip后，客户端可以重新使用正确的密码登录