使用 Fail2Ban + SSH 安全策略防止暴力破解-linux运维-PHP中文网

阻止ssh暴力破解的核心是fail2ban与ssh安全配置结合；2. fail2ban通过监控日志、匹配失败尝试并自动封禁ip实现动态防御；3. 强化ssh需禁用密码认证、禁用root登录、修改默认端口、限制用户访问及认证次数；4. 实施时需备份配置、测试新设置、避免锁死自身，确保日志路径正确并合理设置封禁时长；5. 定期检查fail2ban状态和防火墙规则以确保防护有效，该策略可高效抵御自动化攻击但非万能。

使用 Fail2Ban + SSH 安全策略防止暴力破解

要有效阻止SSH暴力破解，核心在于两点：一是动态地、自动化地封禁恶意IP，这正是Fail2Ban的拿手好戏；二是强化SSH自身的安全配置，从根本上提升认证难度和访问控制。两者结合，能构筑一道坚实的防线，让那些无休止的尝试变得徒劳。

解决方案

防止SSH暴力破解，我们通常会采用Fail2Ban配合SSH自身配置双管齐下的策略。Fail2Ban通过监控日志文件，一旦发现有IP地址在短时间内多次尝试SSH登录失败，就会自动将其IP地址加入防火墙的黑名单，从而阻止其进一步的恶意尝试。这就像给你的服务器门口装了个智能摄像头，发现可疑分子就直接关门。

具体的实现步骤包括：

安装 Fail2Ban： 在Debian/Ubuntu系统上：

sudo apt update && sudo apt install fail2ban

登录后复制

在CentOS/RHEL系统上：

sudo yum install epel-release && sudo yum install fail2ban

登录后复制

配置 Fail2Ban： Fail2Ban的配置主要在
```
/etc/fail2ban/jail.conf
```
登录后复制
文件，但我们通常会创建一个
```
/etc/fail2ban/jail.local
```
登录后复制
文件来覆盖默认配置，这样在Fail2Ban升级时可以避免配置被覆盖。创建一个
```
jail.local
```
登录后复制
文件：
```
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
```
登录后复制
编辑
```
jail.local
```
登录后复制
文件，找到
```
[sshd]
```
登录后复制
或
```
[sshd-ddos]
```
登录后复制
部分（如果存在），确保其被启用（
```
enabled = true
```
登录后复制
）。可以根据需求调整以下参数：
- ```
bantime
```
  登录后复制
  ：IP被封禁的时间，单位秒（例如：
```
bantime = 1h
```
  登录后复制
  封禁1小时，
```
bantime = -1
```
  登录后复制
  永久封禁，但不推荐）。
- ```
findtime
```
  登录后复制
  ：在多少秒内发现
```
maxretry
```
  登录后复制
  次失败尝试。
- ```
maxretry
```
  登录后复制
  ：允许失败尝试的最大次数。例如：
```
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log # 或 /var/log/secure，取决于你的系统
maxretry = 5
bantime = 3600 # 封禁1小时
findtime = 600 # 10分钟内
```
  登录后复制
  配置完成后，重启Fail2Ban服务：
```
sudo systemctl restart fail2ban
```
  登录后复制
强化 SSH 配置： 编辑SSH服务器配置文件
```
/etc/ssh/sshd_config
```
登录后复制
，进行以下关键设置：
- 禁用密码认证，仅使用密钥认证： 这是最强的防御措施。
```
PasswordAuthentication no
```
  登录后复制
  确保你已经设置并测试了SSH密钥登录，否则会把自己锁在外面。
- 禁用Root用户直接登录：
```
PermitRootLogin no
```
  登录后复制
  如果需要root权限，先用普通用户登录，再使用
```
sudo
```
  登录后复制
  或
```
su
```
  登录后复制
  。
- 更改默认SSH端口（可选但推荐）：
```
Port 2222
```
  登录后复制
  (将2222替换为其他未被占用的端口，1024-65535之间) 这虽然不是安全措施，但能大大减少扫描器的“噪音”，让你的日志更清爽。
- 限制允许登录的用户：
```
AllowUsers yourusername anotheruser
```
  登录后复制
  只允许特定用户登录，拒绝所有其他用户。
- 限制认证尝试次数：
```
MaxAuthTries 3
```
  登录后复制
```
LoginGraceTime 30
```
  登录后复制
  修改
```
sshd_config
```
  登录后复制
  后，务必重启SSH服务：
```
sudo systemctl restart sshd
```
  登录后复制

Fail2Ban 是如何识别并阻止恶意攻击的？

Fail2Ban的工作原理其实挺巧妙的，它并非什么高深莫测的人工智能，而是基于一种非常实用的模式识别。简单来说，它会持续地“盯”着你的系统日志文件，特别是那些记录认证尝试的日志（比如

/var/log/auth.log

登录后复制

或

/var/log/secure

登录后复制

）。它内置了一系列预定义的“过滤器”（filters），这些过滤器本质上就是正则表达式。

当一个IP地址尝试登录SSH，并且登录失败时，日志里就会留下相应的记录。Fail2Ban的过滤器会用这些正则表达式去匹配日志里的每一行。一旦某个IP地址在设定的

findtime

登录后复制

（例如10分钟）内，达到了

maxretry

登录后复制

（例如5次）的失败登录次数，Fail2Ban就会认定这个IP是恶意攻击者。

接着，它会执行预设的“动作”（actions），通常就是调用防火墙（如iptables）的命令，将这个恶意IP地址加入到防火墙的丢弃规则中。这样一来，这个IP在

bantime

登录后复制

（例如1小时）内就无法再连接到你的SSH服务了。时间一到，防火墙规则会自动移除，IP又可以尝试连接，但如果它继续恶意尝试，又会被再次封禁。这种自动化、反应式的防御机制，对于抵御大规模的自动化暴力破解攻击非常有效。它就像一个勤劳的门卫，虽然不会预测谁是坏人，但只要发现有人多次敲错门，就直接把他们请出去。

除了 Fail2Ban，SSH 还有哪些关键的安全配置可以强化防御？

我个人觉得，Fail2Ban更多是“事后惩罚”，而SSH自身的配置则是“事前预防”和“提高门槛”。两者结合起来，才能形成一个完整的防御体系。除了Fail2Ban，以下几个SSH配置项是强化服务器安全的关键：

模力视频

模力视频 - AIGC视频制作平台 | AI剪辑 | 云剪辑 | 海量模板

查看详情

首先，禁用密码认证，强制使用SSH密钥登录是优先级最高的。密码再复杂也可能被暴力破解，或者通过其他方式泄露。SSH密钥则不同，它基于非对称加密，私钥留在本地，公钥放在服务器，没有私钥就无法登录，而且私钥还可以用密码短语加密，安全性极高。这是我个人最推荐的配置，它能从根本上杜绝密码暴力破解的可能性。

然后是禁用Root用户直接登录。Root用户拥有系统的最高权限，一旦被攻破后果不堪设想。我们应该始终使用普通用户登录，然后通过

sudo

登录后复制

命令来执行需要root权限的操作。这就像是把金库的钥匙分成了两把，一把在普通入口，另一把在更安全的内室。

更改SSH默认端口（22）虽然不能从根本上提升安全性，但它能显著减少日志中的“噪音”。大量的自动化扫描器只会扫描默认的22端口，当你把端口改掉后，这些扫描器就不会再来烦你，你的日志会干净很多，也更容易发现真正的异常。这就像是把你的门牌号换了，那些盲目敲门的就找不到你了。

再者，利用

AllowUsers

登录后复制

或

DenyUsers

登录后复制

指令来明确指定哪些用户可以登录SSH。这是一种非常精细的访问控制，能确保只有授权的用户才能尝试连接。如果你的服务器上有很多用户，但只有少数几个需要SSH访问权限，这个配置就非常有用了。

最后，可以调整

MaxAuthTries

登录后复制

和

LoginGraceTime

登录后复制

。

MaxAuthTries

登录后复制

限制了每个连接允许的认证尝试次数，比如设为3次，超过就断开连接。

LoginGraceTime

登录后复制

则限制了用户完成认证的时间，比如30秒，超时未认证也会断开。这些配置能在一定程度上减缓攻击者的尝试速度，并减少服务器在攻击期间的资源消耗。

实施这些安全策略时，有哪些常见的陷阱或需要注意的事项？

实施这些安全策略，特别是涉及到SSH访问权限时，最常见的“陷阱”就是把自己锁在外面。我踩过最大的坑就是修改

sshd_config

登录后复制

后，没有测试就直接重启SSH服务，结果发现新的配置有问题，导致自己无法登录，只能通过控制台或者其他应急方式进入服务器修复。所以，永远记住：

修改
sshd_config
登录后复制
前，务必备份原文件。
```
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
```
登录后复制
修改后，不要立即关闭当前SSH会话。 而是打开一个新的终端窗口，尝试用新配置登录。如果能成功登录，再关闭旧会话。如果不能，旧会话还在，你还有机会回滚配置。
确保SSH密钥配置正确且已测试。 如果你禁用了密码认证，但SSH密钥没配置好或者私钥丢失，那就真的麻烦了。

对于Fail2Ban，有几个需要注意的点：

使用
jail.local
登录后复制
而非
jail.conf
登录后复制
。这一点前面提过，但非常重要。直接修改
```
jail.conf
```
登录后复制
可能在Fail2Ban更新时被覆盖掉，导致你的自定义配置丢失。
确认日志路径正确。 Fail2Ban需要监控正确的日志文件。不同的Linux发行版，SSH的认证日志路径可能不同（例如Debian/Ubuntu是
```
/var/log/auth.log
```
登录后复制
，CentOS/RHEL是
```
/var/log/secure
```
登录后复制
）。如果路径不对，Fail2Ban就无法工作。
bantime
登录后复制
的设置要合理。封禁时间太短，攻击者可能很快又卷土重来；封禁时间太长，可能会误伤偶尔输错密码的合法用户，或者导致iptables规则过多影响性能。通常建议设置为1小时到24小时。
定期检查Fail2Ban状态。 使用
```
sudo fail2ban-client status sshd
```
登录后复制
命令可以查看Fail2Ban的运行状态、被封禁的IP地址数量等信息，确保它正常工作。同时，也可以用
```
sudo iptables -L -n
```
登录后复制
来查看防火墙规则，确认IP是否被正确添加。