标签: findtime

debian fail2ban配置

因为黑色自由后台很多SSH尝试登陆的日志,所以就干脆加了一套安全机制,把那些爆破的IP全给封掉。这里用到的就是fail2ban。

安装很简单,apt install fail2ban iptables

这里要提一下,debian 11好像默认是不带iptables的,导致我配置好以后无法生效,查看fail2ban日志才发现原来没有iptables命令,真的是尴尬。

/etc/fail2ban/jail.conf拷贝一份,名为jail.local。这里直接修改jail.local文件,因为网上说更新后会覆盖掉jail.conf文件。

vi jail.local

bantime = 10m 这个是ban掉IP的时效,单位是分钟,为负数是永久封禁,但不建议这样,因为有些网络运营商用的是共享IP,永久封禁后这个IP后的所有人都连不上了。

findtime = 10m 这个是尝试访问的时限,这是我个人的理解,就是说在10分钟内访问。

maxretry = 5 这个是最大访问次数,和上面一条配置在一起就是在10分钟内最大访问次数是5,超过5次就会封禁。

然后找到[sshd]段,加上:

enabled = true

这就可以了,其它的一些ignoreip之类看你个人情况,有固定IP就填上,表示这个IP在安全策略以外。