使用 Fail2Ban + SSH 安全策略防止暴力破解

阻止ssh暴力破解的核心是fail2ban与ssh安全配置结合；2. fail2ban通过监控日志、匹配失败尝试并自动封禁ip实现动态防御；3. 强化ssh需禁用密码认证、禁用root登录、修改默认端口、限制用户访问及认证次数；4. 实施时需备份配置、测试新设置、避免锁死自身，确保日志路径正确并合理设置封禁时长；5. 定期检查fail2ban状态和防火墙规则以确保防护有效，该策略可高效抵御自动化攻击但非万能。

要有效阻止SSH暴力破解，核心在于两点：一是动态地、自动化地封禁恶意IP，这正是Fail2Ban的拿手好戏；二是强化SSH自身的安全配置，从根本上提升认证难度和访问控制。两者结合，能构筑一道坚实的防线，让那些无休止的尝试变得徒劳。

解决方案

防止SSH暴力破解，我们通常会采用Fail2Ban配合SSH自身配置双管齐下的策略。Fail2Ban通过监控日志文件，一旦发现有IP地址在短时间内多次尝试SSH登录失败，就会自动将其IP地址加入防火墙的黑名单，从而阻止其进一步的恶意尝试。这就像给你的服务器门口装了个智能摄像头，发现可疑分子就直接关门。

具体的实现步骤包括：

1. 安装 Fail2Ban： 在debian/ubuntu系统上：

   sudo apt update && sudo apt install fail2ban

   在centos/RHEL系统上：

   sudo yum install epel-release && sudo yum install fail2ban

2. 配置 Fail2Ban： Fail2Ban的配置主要在

   /etc/fail2ban/jail.conf

   文件，但我们通常会创建一个

   /etc/fail2ban/jail.local

   文件来覆盖默认配置，这样在Fail2Ban升级时可以避免配置被覆盖。 创建一个

   jail.local

   文件：

   sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

   编辑

   jail.local

   文件，找到

   [sshd]

   或

   [sshd-ddos]

   部分（如果存在），确保其被启用（

   enabled = true

   ）。 可以根据需求调整以下参数：

   • bantime

     ：IP被封禁的时间，单位秒（例如：

     bantime = 1h

     封禁1小时，

     bantime = -1

     永久封禁，但不推荐）。

   • findtime

     ：在多少秒内发现

     maxretry

     次失败尝试。

   • maxretry

     ：允许失败尝试的最大次数。 例如：

     [sshd] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log # 或 /var/log/secure，取决于你的系统 maxretry = 5 bantime = 3600 # 封禁1小时 findtime = 600 # 10分钟内

     配置完成后，重启Fail2Ban服务：

     sudo systemctl restart fail2ban

3. 强化 SSH 配置： 编辑SSH服务器配置文件

   /etc/ssh/sshd_config

   ，进行以下关键设置：

   • 禁用密码认证，仅使用密钥认证： 这是最强的防御措施。

     PasswordAuthentication no

     确保你已经设置并测试了SSH密钥登录，否则会把自己锁在外面。

   • 禁用Root用户直接登录：

     PermitRootLogin no

     如果需要root权限，先用普通用户登录，再使用

     sudo

     或

     su

     。

   • 更改默认SSH端口（可选但推荐）：

     Port 2222

     (将2222替换为其他未被占用的端口，1024-65535之间) 这虽然不是安全措施，但能大大减少扫描器的“噪音”，让你的日志更清爽。

   • 限制允许登录的用户：

     AllowUsers yourusername anotheruser

     只允许特定用户登录，拒绝所有其他用户。

   • 限制认证尝试次数：

     MaxAuthTries 3

     LoginGraceTime 30

     修改

     sshd_config

     后，务必重启SSH服务：

     sudo systemctl restart sshd

Fail2Ban 是如何识别并阻止恶意攻击的？

Fail2Ban的工作原理其实挺巧妙的，它并非什么高深莫测的人工智能，而是基于一种非常实用的模式识别。简单来说，它会持续地“盯”着你的系统日志文件，特别是那些记录认证尝试的日志（比如

/var/log/auth.log

或

/var/log/secure

）。它内置了一系列预定义的“过滤器”（filters），这些过滤器本质上就是正则表达式。

当一个IP地址尝试登录SSH，并且登录失败时，日志里就会留下相应的记录。Fail2Ban的过滤器会用这些正则表达式去匹配日志里的每一行。一旦某个IP地址在设定的

findtime

（例如10分钟）内，达到了

maxretry

（例如5次）的失败登录次数，Fail2Ban就会认定这个IP是恶意攻击者。

接着，它会执行预设的“动作”（actions），通常就是调用防火墙（如iptables）的命令，将这个恶意IP地址加入到防火墙的丢弃规则中。这样一来，这个IP在

bantime

（例如1小时）内就无法再连接到你的SSH服务了。时间一到，防火墙规则会自动移除，IP又可以尝试连接，但如果它继续恶意尝试，又会被再次封禁。这种自动化、反应式的防御机制，对于抵御大规模的自动化暴力破解攻击非常有效。它就像一个勤劳的门卫，虽然不会预测谁是坏人，但只要发现有人多次敲错门，就直接把他们请出去。

除了 Fail2Ban，SSH 还有哪些关键的安全配置可以强化防御？

我个人觉得，Fail2Ban更多是“事后惩罚”，而SSH自身的配置则是“事前预防”和“提高门槛”。两者结合起来，才能形成一个完整的防御体系。除了Fail2Ban，以下几个SSH配置项是强化服务器安全的关键：

首先，禁用密码认证，强制使用SSH密钥登录是优先级最高的。密码再复杂也可能被暴力破解，或者通过其他方式泄露。SSH密钥则不同，它基于非对称加密，私钥留在本地，公钥放在服务器，没有私钥就无法登录，而且私钥还可以用密码短语加密，安全性极高。这是我个人最推荐的配置，它能从根本上杜绝密码暴力破解的可能性。

然后是禁用Root用户直接登录。Root用户拥有系统的最高权限，一旦被攻破后果不堪设想。我们应该始终使用普通用户登录，然后通过

sudo

命令来执行需要root权限的操作。这就像是把金库的钥匙分成了两把，一把在普通入口，另一把在更安全的内室。

更改SSH默认端口（22）虽然不能从根本上提升安全性，但它能显著减少日志中的“噪音”。大量的自动化扫描器只会扫描默认的22端口，当你把端口改掉后，这些扫描器就不会再来烦你，你的日志会干净很多，也更容易发现真正的异常。这就像是把你的门牌号换了，那些盲目敲门的就找不到你了。

再者，利用

AllowUsers

或

DenyUsers

指令来明确指定哪些用户可以登录SSH。这是一种非常精细的访问控制，能确保只有授权的用户才能尝试连接。如果你的服务器上有很多用户，但只有少数几个需要SSH访问权限，这个配置就非常有用了。

最后，可以调整

MaxAuthTries

和

LoginGraceTime

。

MaxAuthTries

限制了每个连接允许的认证尝试次数，比如设为3次，超过就断开连接。

LoginGraceTime

则限制了用户完成认证的时间，比如30秒，超时未认证也会断开。这些配置能在一定程度上减缓攻击者的尝试速度，并减少服务器在攻击期间的资源消耗。

实施这些安全策略时，有哪些常见的陷阱或需要注意的事项？

实施这些安全策略，特别是涉及到SSH访问权限时，最常见的“陷阱”就是把自己锁在外面。我踩过最大的坑就是修改

sshd_config

后，没有测试就直接重启SSH服务，结果发现新的配置有问题，导致自己无法登录，只能通过控制台或者其他应急方式进入服务器修复。所以，永远记住：

1. 修改

   sshd_config

   前，务必备份原文件。

   sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
2. 修改后，不要立即关闭当前SSH会话。 而是打开一个新的终端窗口，尝试用新配置登录。如果能成功登录，再关闭旧会话。如果不能，旧会话还在，你还有机会回滚配置。
3. 确保SSH密钥配置正确且已测试。 如果你禁用了密码认证，但SSH密钥没配置好或者私钥丢失，那就真的麻烦了。

对于Fail2Ban，有几个需要注意的点：

• 使用

  jail.local

  而非

  jail.conf

  。 这一点前面提过，但非常重要。直接修改

  jail.conf

  可能在Fail2Ban更新时被覆盖掉，导致你的自定义配置丢失。

• 确认日志路径正确。 Fail2Ban需要监控正确的日志文件。不同的linux发行版，SSH的认证日志路径可能不同（例如Debian/Ubuntu是

  /var/log/auth.log

  ，CentOS/RHEL是

  /var/log/secure

  ）。如果路径不对，Fail2Ban就无法工作。

• bantime

  的设置要合理。 封禁时间太短，攻击者可能很快又卷土重来；封禁时间太长，可能会误伤偶尔输错密码的合法用户，或者导致iptables规则过多影响性能。通常建议设置为1小时到24小时。

• 定期检查Fail2Ban状态。 使用

  sudo fail2ban-client status sshd

  命令可以查看Fail2Ban的运行状态、被封禁的IP地址数量等信息，确保它正常工作。同时，也可以用

  sudo iptables -L -n

  来查看防火墙规则，确认IP是否被正确添加。

这些策略虽然能大幅提升安全性，但它们并非万能。它们主要针对自动化、大规模的暴力破解。对于更高级的攻击手段，比如社会工程学、0day漏洞等，还需要其他更全面的安全措施。但作为基础防御，它们无疑是高效且必要的。