Fail2Ban 实战终极速查表
一、核心基础操作(必记)
1. 服务管理
- 启动服务:
sudo systemctl start fail2ban - 停止服务:
sudo systemctl stop fail2ban - 重启服务:
sudo systemctl restart fail2ban - 查看状态(验证服务是否运行):
sudo systemctl status fail2ban - 设置开机自启:
sudo systemctl enable fail2ban
2. 状态查询
- 查看所有监狱状态:
sudo fail2ban-client status - 查看指定监狱(如 sshd)状态:
sudo fail2ban-client status sshd
二、封禁与解封操作(高频使用)
1. 手动封禁 IP
- 格式:
sudo fail2ban-client set [监狱名] banip [目标IP] - 示例:
sudo fail2ban-client set sshd banip 10.0.0.1(封禁 10.0.0.1 到 sshd 监狱)
2. 手动解封 IP
- 格式:
sudo fail2ban-client set [监狱名] unbanip [目标IP] - 示例:
sudo fail2ban-client set sshd unbanip 10.0.0.1 - 解封所有 IP:
sudo fail2ban-client unban --all
三、核心配置(sshd 监狱示例)
1. 快速配置(直接生效)
bash
运行
sudo tee /etc/fail2ban/jail.d/sshd.conf <<-'EOF' [sshd] enabled = true # 启用监狱 port = ssh # 防护端口(ssh 对应 22) filter = sshd # 匹配 sshd 日志的规则 backend = systemd # 适配 Ubuntu 新版日志机制 maxretry = 3 # 3 次失败登录触发封禁 bantime = 3600 # 封禁时长(秒),1 小时=3600 秒 findtime = 600 # 统计窗口(秒),10 分钟内触发 ignoreip = 127.0.0.1 # 忽略本地 IP,避免误封 action = iptables-multiport # 封禁动作(iptables 拦截) EOF2. 配置生效命令
- 重新加载配置:
sudo fail2ban-client reload sshd - 强制重启生效:
sudo systemctl restart fail2ban
四、Web 界面管理(f2bwi)
1. 启动 / 停止 Web 服务
- 启动(本地访问):
cd /var/www/f2bwi && php -S 127.0.0.1:8080 - 停止:按
Ctrl+C终止进程 - 访问地址:浏览器打开
http://127.0.0.1:8080
2. Web 界面操作
- 封禁新 IP:选择监狱(sshd)→ 输入 IP → 点击「Ban IP」
- 刷新状态:点击界面「Refresh」按钮
- 解封 IP:通过终端命令(f2bwi 无直接解封按钮)
3. 消除 PHP 警告(可选)
bash
运行
sudo sed -i '1i <?php error_reporting(E_ALL & ~E_NOTICE & ~E_WARNING); ?>' /var/www/f2bwi/index.php五、避坑指南(关键提醒)
- Ubuntu 22.04+/20.04 必须配置
backend = systemd,否则日志匹配失败; - 手动写
/var/log/auth.log无效,优先用ssh输错密码或banip命令测试; - Web 界面仅用于管理,封禁规则最终依赖 Fail2Ban 服务,服务停止不影响已封禁 IP;
- 若看不到封禁记录,先查服务状态(
systemctl status fail2ban),确保服务正常运行。