---

安裝 fail2ban
$ sudo apt-get install fail2ban


設定檔為 /etc/fail2ban/fail2ban.conf
    以及 /etc/fail2ban/jail.conf

fail2ban.conf 主要設定fail2ban的log檔，維持預設即可
fail2ban的log檔預設值為 logtarget = /var/log/fail2ban.log

jail.conf 設定各項服務的阻擋規則
不要直接修改 jail.conf
而是複製為 jail.local 後修改 jail.local 檔
$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
$ sudo vim jail.local

在 [DEFAULT] 區段裡，設定所有服務的預設值

ignoreip = 127.0.0.1/8
設定白名單，在此名單上的IP不會被封鎖
例如修改為 ignoreip = 127.0.0.1/8 192.168.0.1/24

bantime  = 600
封鎖時間預設為600秒(10分鐘)，設為 -1 可永久封鎖

findtime  = 600
密碼錯誤嘗試的時間，預設為10分鐘內

maxretry = 5
在findtime內密碼錯誤嘗試次數，超過此次數就會被封鎖

enabled = false
是否開啟封鎖功能，預設是關閉的
在後面針對各種服務的設定再打開


後面是針對各種服務的設定值
例如 SSH 的設定預設是這樣
#
# SSH servers
#

[sshd]

port    = ssh
logpath = %(sshd_log)s

新增一行
enabled = true

若 port 有改為自訂值的話，修改為
port = xxxx



重新啟動 fail2ban
$ sudo service fail2ban restart


有啟動的話，使用 $ sudo iptables -L 可以看到以下資訊
Chain f2b-sshd (1 references)
target     prot opt source               destination        
RETURN     all  --  anywhere             anywhere          


測試看看使用錯誤的密碼登入直到被封鎖，在 iptables -L 可看到
Chain f2b-sshd (1 references)
target     prot opt source               destination        
REJECT     all  --  XXX-XXX-XXX-XXX.dynamic.hinet.net  anywhere   reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere            



參考
http://www.shunze.info/forum/thread....e02be23bf8adf2ba4bf92be652791b


--
※ 作者: Knuckles 時間: 2016-06-19 06:39:29
※ 編輯: Knuckles 時間: 2016-06-19 07:22:00