自动防御:用Fail2Ban封锁IP

Linux 运维Linux Actual combat
📊 字数: 289 | ☕ 时长: 1 minute

即使改了端口 还是有人扫怎么办? 这时就需要雇一个保安 24小时盯防

为何安装 Fail2Ban?(测试环境)

可以看见有很多不明ip尝试爆破

安装 Fail2Ban :防暴力破解神器

1
2
3
4
5
sudo apt update
sudo apt install fail2ban -y
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
# 默认配置就能防 SSH 爆破 有其他更高的要求可以对应更改配置

创建配置文件

1
sudo vim /etc/fail2ban/jail.local
Fail2Ban详细配置

开启服务

1
2
sudo systemctl restart fail2ban
sudo fail2ban-client status sshd
检查是否有Status for the jail: sshd 以及 Currently banned: 0

进行实操 物理机ssh连接

这里我修改过端口为2222 所以必须指定port = 2222

cmd连接失败

这里可以看见finalshell也给我封了 一般ip指向都是同网段且为虚拟网卡ip

FinalShell断开连接

现在我们进 Ubuntu 查看封杀 ip

1
2
# 查看被封ip
sudo fail2ban-client status sshd
明显看见 Currently 与 Banned
1
2
# 查看日志
sudo cat /var/log/fail2ban.log
可以看见 sshd Ban

解封一下ip

1
sudo fail2ban-client set sshd unbanip 192.168.88.1

解封后可以看见物理机正常连接:

cmd.shell连接成功