【Ubuntu】Fail2Ban基本使用

最近在AWS Lightsail上開了一個VPS架設這個網站，因為是公開的所以一定會有很多機器人來掃ssh嘗試破解，雖然AWS預設強制只能用ssh key來登入，不能用密碼，但為了再增加點安全性，我決定還是來裝個Fail2Ban來ban 掉嘗試錯誤太多次的IP。

我們可以先用

sudo lastb

來看一下所有失敗的登入紀錄

last

來看登入成功的紀錄

sudo grep "Accepted" /var/log/auth.log | tail -n 20

或是顯示更詳細的登入資訊

基本上只要是公開的IP，有開啟22 port就很容易看到一堆登入失敗的資訊，因此我們要來用Fail2Ban把這些掃port的機器人ban掉。

基本使用

安裝

sudo apt-get update
sudo apt-get install -y fail2ban

複製config檔，避免改到預設的

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

如果想設置嘗試次數、Ban多久等參數的話，可以編輯他，這邊我就先不改，用預設的即可

sudo nano /etc/fail2ban/jail.local

然後就可以啟動服務了

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

查看目前的封鎖資訊

sudo fail2ban-client status sshd