Linux服务器总是被暴力破解，用fail2ban来加强防护（用法详解）

# 实时查看日志
[root@blog ~]# tail -f /var/log/secure

永久配置：--permanent
--add-source=网段地址
--add-service=协议

# 例子
# 拒绝网段或单个IP访问
firewall-cmd --permanent --zone=block --add-source=172.34.0.0/24
firewall-cmd --permanent --zone=block --add-source=172.34.4.207
firewall-cmd --permanent --zone=block --add-service=http
firewall-cmd --permanent --zone=block --add-service=ftp
# 重载生效
firewall-cmd --reload

# 删除不需要的
firewall-cmd --permanent --zone=block --remove-source=172.34.4.207

vim /etc/hosts.deny 

# 以如下的形式添加内容
sshd:213.136.88.159
sshd:207.154.196.169
sshd:167.172.188.48
sshd:45.133.1.78
sshd:206.81.23.148
……

# ubuntu
sudo apt-get install fail2ban

# centos/rhel
sudo yum -y install fail2ban

root@ubuntu:~# fail2ban-client --help
Usage: /usr/bin/fail2ban-client [OPTIONS] <COMMAND>
Option:
    -c <DIR>                设置配置目录，服务端在启动时将从该目录下搜索并加载配置文件。
    -s <FILE>               设置服务端套接字文件路径。
    -p <FILE>               设置服务端启动时应该创建的进程文件路径。
    -d                      转储配置，用于调试，使用该选项则会将配置信息显示到屏幕上。
    -i                      以交互的方式操作Fail2ban。
    -v                      较详细的显示操作信息。
    -q                      较少的显示操作信息。
    -x                      设置服务端在启动前将删除套接字文件。
    -b                      设置服务端将在后台运行。
    -f                      设置服务端将在前台运行。
    -h, --help              显示帮助信息。
    -V, --version           显示版本信息。

Command:
    start                                    启动服务端和所有监禁（jail）。
    reload                                   重载所有配置。
    reload <JAIL>                            重载指定的监禁（jail）配置。
    stop                                     停止服务端和所有监禁（jail），当Fail2ban服务交
                                             由"systemctl"托管时，使用该命令将会导致服务端重启。
    status                                   获取当前监禁（jail）的运行状态。
    ping                                     测试服务端的活跃状态。
    help                                     return this output
    version                                  显示服务端的版本。

[root@blog ~]# vim /etc/fail2ban/jail.local.conf

# 拷贝默认配置
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo vim /etc/fail2ban/jail.local

# 只关注sshd这部分，其它的原理类似，自成一个板块
[sshd]
enabled = true                # 是否开启动
filter  = sshd                # 过滤sshd协议
port    = 22                  # 监控端口22，根据自己服务器修改ssh端口 
action = %(action_mwl)s       # 执行动作
logpath = /var/log/secure     # 监控日志来源
maxretry    = 5               # 最大尝试次数
bantime     = 18000           # 禁止IP地址的持续时间（“ m”代表分钟）。如果键入的值不带“ m”或“ h”（代表小时），则将其视为秒。值-1将永久禁止IP地址。要非常小心，不要将自己永久锁定在自己的面前。
findtime        = 1800        # “尝试失败次数过多”的值。

[DEFAULT]
ignoreip = xxx.xxx.xxx.xxx

# 设置开机自启动
sudo systemctl enable fail2ban
# 启动
sudo systemctl start fail2ban
# 查看运行状态
sudo systemctl status fail2ban

# 查看状态
sudo fail2ban-client status
# 查看sshd监控状态
sudo fail2ban-client status sshd