如何在Debian上利用FailBan防止SSH暴力破解

Introduction

SSH暴力破解是一种现代网络攻击的形式，它是利用所谓的猜测攻击策略在SSH服务器上获取凭据的过程，这是一种典型的入侵行为，可以导致信息泄露和数据丢失。FailBan是一个基于日志文件监控实现的安全系统，用于识别和防止恶意入侵和Dos攻击等。在本文中，我们将探讨如何在Debian上利用FailBan防止SSH暴力破解。

Step 1 - 安装FailBan

在Debian上安装FailBan非常简单。，使用以下命令更新您的系统：

```

sudo apt-getupdate

```

然后，运行以下命令以安装FailBan：

```

sudo apt-getinstall fail2ban

```

安装过程完成后，您需要启动FailBan服务并使其在系统启动时自动启动：

```

sudo systemctlstartfail2ban

sudo systemctlenablefail2ban

```

Step 2 - 配置FailBan

一旦您的FailBan安装完成并启动，下一步是配置FailBan以防止SSH暴力破解行为。

，打开FailBan的主配置文件：

```

sudo nano /etc/fail2ban/jail.conf

```

然后，找到以下位置的[sshd]部分：

```

[sshd]

enabled = true

port = ssh

```

在此部分中，您可以配置允许的最大尝试登录次数。例如，如果您希望每个IP只能有3次尝试登录机会，则可以将bantime设置3。例如：

```

[sshd]

enabled = true

port = ssh

maxretry = 3

bantime = 3

```

Step 3 - 测试FailBan

现在已经完成了FailBan的配置。 为确保FailBan可以正常工作并阻止SSH暴力破解行为，您需要进行一些测试。

，让我们启动几个SSH连接尝试：

```

ssh root@your-server-ip

```

在尝试若干次连接后，让我们再次查看FailBan的状态：

```

sudo fail2ban-client status sshd

```

如果FailBan已经在特定IP上禁止尝试登录，则输出应该类似于以下内容：

```

Status for the jail: sshd

|- Filter

| |- Currently failed: 0

| |- Total failed: 1

| `- File list: /var/log/auth.log

`- Actions

|- Currently banned: 1

|- Total banned: 1

`- Banned IP list: 192.168.1.100

```

Step 4 - FailBan日志管理

最后，您需要确保FailBan的日志文件可以管理。对于长期使用，您可能需要将日志文件大小限制为750KB，以确保服务器的磁盘空间不会因大量日志文件而用尽。您可以通过编辑FailBan的主配置文件来执行此操作：

```

sudo nano /etc/fail2ban/fail2ban.conf

```

在此文件中，您可以查找以下位置：

```

logtarget = /var/log/fail2ban.log

```

禁止ssh尝试登录30分钟内如果达到了10次的行为。

```

bantime = 1800

maxretry = 10

```

FailBan是一种强大的安全管理工具，可以有效预防SSH暴力破解行为。在本指南中，我们介绍了如何在Debian上安装FailBan，配置FailBan以防止SSH暴力破解，并对FailBan进行了测试和日志管理。We hope this guide has been helpful and you are now feel confident in your ability to protect your server from brute-force attacks.