在使用任何开放SSH端口登录的Liunx服务器时，经常会遇到暴力破解登录，景文互联云服务器也不例外，在没有做任何安全防护工作时，这是任何服务器不可避免的。

具体特征为：您在登录服务器时，会发现在命令行中提示了几千甚至几万次失败登录尝试，这是网络非法分子通过对IP段的批量扫爆，多次尝试登录，而留下的记录，一旦您使用弱密码或已成功被爆破，将会对您的服务器带来重大安全隐患。

所以使用景文互联云服务器产品的用户，我们建议您使用SSH Key，来登录服务器，或者在服务器上安装fail2ban，来防御扫爆入侵，本文将指导您安装并启用fail2ban 服务。

1.使用root方式登录景文互联云服务器SSH

2.安装fail2ban

apt-get install fail2ban -y //Ubuntu、Debian 等
yum install fail2ban -y //CentOS/RHEL、Fedora 等

3.配置fail2ban，我们给出一个示例配置文件

vi /etc/fail2ban/jail.conf


[DEFAULT]
# 以空格分隔的列表，可以是 IP 地址、CIDR 前缀或者 DNS 主机名
# 用于指定哪些地址可以忽略 fail2ban 防御
ignoreip = 127.0.0.1 172.31.0.0/24 10.10.0.0/24 192.168.0.0/24
 
# 客户端主机被禁止的时长（秒）
bantime = 86400
 
# 客户端主机被禁止前允许失败的次数 
maxretry = 5
 
# 查找失败次数的时长（秒）
findtime = 600
 
mta = sendmail
 
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=your@email.com, sender=fail2ban@email.com]
# Debian 系的发行版 
logpath = /var/log/auth.log
# Red Hat 系的发行版
logpath = /var/log/secure
# ssh 服务的最大尝试次数 
maxretry = 3

根据上述配置，fail2ban会自动禁止在最近10分钟内有超过3次访问尝试失败的任意IP地址。一旦被禁，这个IP地址将会在24小时内一直被禁止访问 SSH 服务。这个事件也会通过sendemail发送邮件通知。

4.配置完成后，重启fail2ban，即可生效

service fail2ban restart //Debian, Ubuntu 或 CentOS/RHEL 6
systemctl restart fail2ban //Fedora 或 CentOS/RHEL 7

测试 fail2ban 并监控日志

您可以尝试在本地多次登录VPS SSH并使用错误密码，同时监控/var/log/fail2ban.log日志文件，该文件记录在fail2ban中发生的任何敏感事件。

tail -f /var/log/fail2ban.log

检查fail2ban状态解禁被锁住的IP地址

由于fail2ban的“ssh-iptables”监狱使用iptables来阻塞问题IP地址，你可以通过以下方式来检测当前iptables来验证禁止规则。

iptables --list -n

如果你想要从fail2ban中解锁某个IP地址，可以使用iptables命令来完成

iptables -D fail2ban-SSH -s XXX.XXX.XXX.XXX -j DROP

当然你可以使用上述的iptables命令手动地检验和管理fail2ban的IP阻塞列表，但实际上有一个适当的方法就是使用fail2ban-client命令行工具。这个命令不仅允许你对"ssh-iptables"监狱进行管理，同时也是一个标准的命令行接口，可以管理其他类型的fail2ban监狱。

检验fail2ban状态（会显示出当前活动的监狱列表）：

fail2ban-client status

检验一个特定监狱的状态（例如ssh-iptables):

fail2ban-client status ssh-iptables

解锁特定的IP地址:

fail2ban-client set ssh-iptables unbanip XXX.XXX.XXX.XXX

注意，如果你停止了Fail2ban 服务，那么所有的IP地址都会被解锁。当你重启 Fail2ban，它会从/etc/log/secure(或 /var/log/auth.log)中找到异常的IP地址列表，如果这些异常地址的发生时间仍然在禁止时间内，那么Fail2ban会重新将这些IP地址禁止。

设置 Fail2ban 自动启动

chkconfig fail2ban on // CentOS/RHEL 6
systemctl enable fail2ban // Fedora 或 CentOS/RHEL 7

参考文献：Linux 中国开源社区