fail2ban是一款功能强大的主动防御软件，可以监控最常用的服务器软件。它可以监控您的系统日志，然后匹配日志中的错误信息（正则表达式匹配）来执行相应的屏蔽操作。有需要的就下载吧！

fail2ban是一款功能强大的主动防御软件，可以监控最常用的服务器软件。它可以监控您的系统日志，然后匹配日志中的错误信息（正则表达式匹配）来执行相应的屏蔽操作。有需要的就下载吧！

特征

1.支持大量服务。如sshd、apache、qmail、proftpd、sasl等。

2.支持多种动作。如iptables、tcp-wrapper、shorewall（iptables第三方工具）、mail notification（邮件通知）等。

3. logpath选项中支持通配符

4.需要Gamin支持（注：Gamin是一个服务工具，用于监控文件和目录是否被更改）

5.需要安装Python、iptables、tcp-wrapper、shorewall、Gamin。如果要发送邮件，必须安装postfix/sendmail

指示

//下载rpmforge（里面包含大量最新的rpm包）

# wget URL 请将此URL替换为扩展阅读中的地址

//安装rpmforge

# rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm

//使用yum安装fail2ban

# yum 安装fail2ban

安装完成后，fail2ban的配置文件在这里

# /etc/fail2ban

fail2ban.conf 日志设置文件

jam.conf 拦截配置文件

/etc/fail2ban/filter.d 具体拦截内容设置目录

默认情况下，fail2ban.conf 中只有三个参数，并且都带有注释。

----------------------------------

#默认日志级别

日志级别=3

#日志的用途

logt*arget=/var/log/fail2ban.log

#套接字位置

套接字=/tmp/fail2ban.sock

----------------------------------

Jail.conf配置包含了fail2ban保护的具体服务的配置，这里我们使用SSH。

jam.conf 中有一个[DEFAULT] 部分。此部分下的参数是全局参数，可以被其他部分覆盖。

----------------------------------

#忽略IP，此列表中的IP不会被屏蔽

忽略ip=127.0.0.1 172.13.14.15

#区块时间

班时间=600

#发现时间。如果在此期间重试超过指定次数，将激活fail2ban。

查找时间=600

尝试次数

最大重试次数=3

#日志修改检测机制

后端=自动

[ssh-iptables]

激活

启用=真

#filter的名称，在filter.d目录中

过滤器=sshd

#使用的作品可以通过名字在action.d目录中找到。

操作=iptables[名称=SSH、端口=ssh、协议=tcp]

mail-whois[name=SSH, dest=root]

#目的分析日志

日志路径=/var/log/secure

#覆盖全局重试次数

最大重试次数=5

#覆盖全局屏蔽时间

班时间=3600

----------------------------------

对jail.conf进行一定的设置后，就可以使用fail2ban了。

//启动fail2ban

# 服务fail2ban启动

启动后，只要出现符合过滤器定义的正则规则的日志项，就会执行相应的操作。