通过添加入侵检测系统提高 Ubuntu服务器 的安全性。

Fail2ban 会监控特定的日志文件（在 /var/log 目录中找到）是否有失败的登录尝试或者自动攻击。
当 Fail2ban 检测到来自 IP 地址的企图入侵时，它会阻止 IP 地址（通过向 iptables 安全系统添加新链）进入服务器。

配置 Fail2ban

Fail2ban 是使用 jails 配置的。
监狱定义了服务如何监控以及对攻击采取行动的速度。

开箱即用，系统已经是安全的。
但是，它也非常灵活。
主要的配置文件是 /etc/fail2ban/jail.conf 。
不要编辑那个文件。
相反，创建一个带有 .local 文件扩展名的新文件。
Fail2ban 总是先读取 .conf 文件，然后再读取 .local 文件。
在 .local 文件中读取的任何配置都将覆盖 .conf 文件中的类似配置。

配置示例

假设我们要为 Secure Shell 守护程序创建一个自定义监狱，它将：

• 监控 /var/log/auth.log。
• 使用默认的 fail2ban sshd 过滤器。
• 将 SSH 端口设置为 22.
• 将最大重试次数设置为 3.

在.local中的ssh自定义项。jail将覆盖主配置文件jail.conf中的相同配置（例如，jail.conf中的默认最大重试次数设置为5）。有了这个监狱，如果一个人（或者机器人）三次SSH登录尝试失败，那么原始IP地址将被禁止。

要配置它，请执行命令：

sudo nano /etc/fail2ban/jail.local

在这个新文件中，粘贴以下内容：

[sshd]
enabled = true
port = 22
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

保存并关闭文件，然后使用以下命令重新启动 Fail2ban：

sudo systemctl restart fail2ban

取消阻止 IP 地址

使用 fail2ban-client 命令（与 fail2ban 一起安装）取消禁止 IP，如下所示：

sudo fail2ban-client set sshd unbanip 192.168.1.100

如何安装 Fail2ban

使用 Apt 安装 Fail2ban。
最好在新更新的服务器平台上执行安装，如果内核版本更新，请在安装Fail2ban之前重新启动服务器。

安装完成后，使用以下两个命令启动并启用Fail2ban：

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

测试Fail2ban

从其他计算机尝试使用错误的密码登录3次，用户帐户将被禁止。