运维必备技能：配置 Fail2Ban 防 SSH 暴力破解-益强编程堂

当前位置：首页 >人工智能 >运维必备技能：配置 Fail2Ban 防 SSH 暴力破解

游客发表

运维必备技能：配置 Fail2Ban 防 SSH 暴力破解

发帖时间：2025-11-04 14:15:50

[IT科技] 来源：益强编程堂

今天分享一下如何通过Fail2Ban防止SSH暴力破解。必备H暴

随着服务器暴露在公网，技能解SSH 暴力破解攻击越来越常见。配置攻击者通过不断尝试用户名和密码试图登录你的力破服务器，这不仅威胁安全，必备H暴还可能拖慢系统性能。技能解

1. 什么是配置 Fail2Ban？

Fail2Ban 是一款开源入侵防御工具，它可以实时监控日志文件，力破一旦检测到暴力破解行为（如多次登录失败），必备H暴就会自动使用防火墙（如 firewalld）将攻击者 IP 临时或永久封禁。技能解

2. 安装 Fail2Ban

环境信息：

系统版本：Rocky Linux 8 / 9SSH 登录端口：默认 22（如你自定义端口，配置请注意替换）默认 SSH 日志路径：/var/log/secure

Rocky Linux 默认没有内置 Fail2Ban，力破需要启用 EPEL 仓库：

复制# 启用 EPEL 仓库 dnf install epel-release -y # 安装 Fail2Ban dnf install fail2ban -y1.2.3.4.5.

安装完成后，必备H暴Fail2Ban 的技能解核心文件路径为：

复制配置目录：/etc/fail2ban 服务名：fail2ban1.2. 3. 配置 Fail2Ban 保护 SSH

Fail2Ban 的b2b信息网默认配置文件为 /etc/fail2ban/jail.conf，请不要直接修改，配置我们应该创建一个新的配置文件：

复制vim /etc/fail2ban/jail.local1.

推荐配置如下：

复制[DEFAULT] ignoreip = 127.0.0.1/8 ::1 # 忽略本地 IP bantime = 1h # 封禁时间（1 小时） findtime = 10m # 查找时间窗（10 分钟） maxretry = 5 # 最大失败次数（超出则封禁） backend = systemd # 使用 systemd 读取日志 banaction = firewallcmd-ipset # 使用 firewalld 封禁 IP [sshd] enabled = true # 启用 SSH 防护 port = ssh # 监控的端口（或自定义端口号） logpath = %(sshd_log)s # 自动识别 /var/log/secure filter = sshd # 使用默认 sshd 筛选规则1.2.3.4.5.6.7.8.9.10.11.12.13.

参数说明：

ignoreip：允许的 IP 地址（比如你家/公司白名单 IP）bantime：封禁时长，可设置为 -1 实现永久封禁findtime + maxretry：在 findtime 时间内失败超过 maxretry 次，就封禁banaction：配合 firewalld 封 IPbackend = systemd：Rocky 使用 systemd 管理日志，比传统文件读取更稳定4. 启动并启用 Fail2Ban

启动并设置开机自启：

复制systemctl enable --now fail2ban1.

设置开机自动启动：

复制systemctl enable fail2ban1.

启用防火墙 firewalld：

复制systemctl enable --now firewalld1.

查看运行状态：

复制systemctl status fail2ban1.