每台可通过互联网访问的服务器都面临着遭受暴力破解和恶意软件攻击的巨大风险。黑客尝试使用暴力尝试来访问可在公共网络上访问的应用程序。
Fail2ban 是一种工具,用于通过提高基于 Linux 的计算机的安全性来保护其免受自动攻击。它监控任何恶意活动的日志,并允许用户暂时或永久阻止远程 IP 地址
本操作指南将解释如何在基于 Debian 11 的系统上安装、配置和设置 Fail2ban。
如何在 Debian 11 上安装 Fail2ban
Fail2ban 在 Debian 11 的默认存储库中可用,因此可以使用 Debian 的默认包管理器轻松安装它:
sudo apt install fail2ban -y
成功安装后,Fail2ban 服务应自动启动。您可以通过运行以下命令来验证这一点:
sudo systemctl status fail2ban
如果该服务在您的系统上未激活,则可以使用以下命令启动并启用它:
sudo systemctl start fail2ban
ssudo systemctl enable fail2ban
如何在 Debian 11 上配置 Fail2ban
Fail2ban 附带两个不同的配置文件,位于 /etc/fail2ban 目录中。这些配置文件具有不应修改的基本配置,因为当软件包更新到达时这些文件可能会被覆盖。
我们可以使用单独的 .local 文件作为配置文件,以避免将来出现任何麻烦。因此,我们将通过复制jail.conf文件来制作本地配置文件:
sudo cp /etc/fail2ban/jail.{conf,local}
现在,在文本编辑器中打开新创建的文件:
sudo nano /etc/fail2ban/jail.local
您可以在此处根据需要更新设置。您可以添加一个ignoreip忽略 IP 地址/将其列入白名单的指令。这里我列出了两个不同的IP地址作为示例。您可以输入任何您想要列入白名单的 IP 地址:
ignoreip = 127.0.0.15/8 192.168.1.2/24
The bantime指令可用于设置 IP 地址被禁止的持续时间。我们可以使用像 m,d 这样的后缀来指定时间单位,默认情况下以秒为单位。
bantime = 120m
The findtime指令指定了实施禁令之前失败次数的持续时间。如果 Fail2ban 在 4 次失败尝试后要禁止某个 IP,则 findtime 指令定义必须发生失败的时间间隔。
findtime = 2m
The maxretry用于定义 IP 被列入黑名单之前尝试失败的次数。
maxretry = 5
进行所有必要的更改后,您只需保存并保存配置文件即可。
现在重新启动服务以使更改生效:
sudo systemctl restart fail2ban.service
结论
Fail2ban 允许我们配置我们的系统,使其更安全地抵御暴力攻击和其他恶意活动。它通过检查日志并将可疑的 IP 地址列入黑名单来保护我们的系统。这些安全措施至关重要,特别是对于可在公共网络上访问的系统。在本文中,我们学习了在 Debian 11 上安装、配置和设置 Fail2ban。