緣由

如果有人嘗試登入主機失敗，系統就會記錄一次登記失敗的 log，所以在一般的情況下如果有人惡意要去 try 你的服務，他可以一直一直一直 try，這時候如果你的密碼很簡單，尤其是使用了很單純的單字、數字組成，沒過多久很快就會被 try 破了，把密碼弄得複雜一點長一點可以增加被 try 破的難度，但是如果讓惡意連線一直嘗試，一樣會有被 try 破的一天。

fail2ban 是一套 Linux 安全防護套件，運作的原理是讓使用者設定需要監控的服務，例如：ssh、mysql，這些服務如果有使用者登入失敗，會如同上面提到的，寫一條登入失敗的資訊到 log，fail2ban 會根據使用者設定去掃描有沒有像下面這種嘗試登入並且登入失敗的記錄

Nov 26 21:37:35 noter sshd[]: Invalid user dbuser from 118.24.117.187
Nov 26 21:37:35 noter sshd[]: input_userauth_request: invalid user dbuser [preauth]
Nov 26 21:37:35 noter sshd[]: pam_unix(sshd:auth): check pass; user unknown
Nov 26 21:37:35 noter sshd[]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=118.24.117.187
Nov 26 21:37:37 noter sshd[]: Failed password for invalid user dbuser from 118.24.117.187 port 47634 ssh2

使用者可以設定在一段時間內，嘗試登入但發生錯誤幾次，就先把這個 IP 進行封鎖一段時間，這樣應該不難理解，這些設定必須要根據自己的使用情況來設定。

安裝 fail2ban

sudo apt-get update 
sudo apt-get install fail2ban 
# 重新啟動 
service fail2ban stop 
service fail2ban start

直接安裝完就會以預設值來啟動，這樣就有基本的防護功能，但是基本設定並不能滿足小蛙的需求，因此下面依自己需求修改。

修改設定檔

# 先備份一份原始設定，避免改壞
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
 
# 編輯設定
vim /etc/fail2ban/jail.conf
 
# 說明
bantime = 改成自己要的秒數，如果被 ban 要多久才能
findtime = 改成自己要的秒數，掃描區間
maxretry = 3 改成自己可以允許被 try 幾次
destemail = 改成自己要收到信的 email
 
# ssh 服務設定區塊
[sshd]
enabled = true
port    = ssh
logpath = %(sshd_log)s
 
# 重新啟動
service fail2ban stop
service fail2ban start

每個服務都會有自己的區塊，ssh 服務可以在設定檔中找到，如果區塊內沒有上述四個參數，就會套用預設值，有的話則會使用區塊內的設定蓋過預設值，logpath 保留預設就可以了，想開啟其他服務的話，只要找到該區塊直接 enabled 設定成 true 即可。談談小蛙的思考

• 不太可能連續輸入錯密碼 3 次，因此 maxretry 小蛙設定成 3
• 第一點可能性很低，因此 findtime 可以設定大一點，設了 7200 秒
• 因會發生 1, 2 點的都不會是小蛙自己，因此 bantime 設定成 -1，永久封鎖

意思就是說上面 118.24.117.187 如果在 7200 秒內(findtime)，登入錯誤超過 3 次(maxretry)，那麼這個 IP 就會被小蛙的主機永久設定為拒絕往來戶。雖然 fail2ban 不能夠完完全全阻擋外來的攻擊，但是至少可以避免讓一些惡意嘗試登入可以無限制地一直測試，其實也是個方便又不錯的工具喔！

2019-12-04

今天裝一台新的發現在 jail.conf 裡的 [DEFAULT] 設定預設並沒有生效 … 因此如果也有遇到這狀況的人，可以改成在 /etc/fail2ban/jail.d/ 下面設定，例如小蛙一裝完，這個資料夾下原本就有一個 defaults-debian.conf，裡面原本就有 [sshd] enabled = true，預設就把 sshd 打開了，把自己要的 bantime, findtime, maxretry 打在這邊再重啟 fail2ban 就可以了。

fail2ban 系列：

• Ubuntu 16.04 安裝 fail2ban
• 讓 fail2ban 可以設定永久 ban 名單
• 自己被 fail2ban 封鎖的解決方法

增加安全性系列：

• 向 TWCA 申請 SSL 憑證 (Ubuntu, Apache)
• Ubuntu 16.04 升級 phpMyAdmin 並開啟二階段驗證( 2FA )
• Ubuntu 16.04 安裝 fail2ban

網站架設系列文章：

• 盤點那些曾經陪伴過小蛙的 VPS 虛擬主機
• 如何挑選 VPS + 最划算的買法
• 手把手教你如何購買 VPS
• 第一次買 KVM 虛擬主機
• 血的教訓 – HiFormance 跑路了 …
• 為自己申請一個域名 – HiNet 為例
• Cloudflare – 超強大的免費 CDN (?)
• 使用 Cloudflare 代管你的域名
• Ubuntu 16.04 設定環境語言編碼，讓中文可以正常顯示
• Ubuntu 16.04 安裝 fail2ban
• 一個腳本每天自動備份
• Linux tar 完整備份、增量備份及差異備份比較
• nginx + SSL Certificate – 讓 http 變身成為 https
• SSL For Free – 免費又有綠色鎖頭的 SSL Certificates
• Certbot 申請 SSL certificate 錯誤問題
• Certbot 錯誤：ACMEv1 is deprecated and you can …
• Ubuntu 18.04 安裝 AWStats 來統計網站流量
• PCHome 買網址續約流程

這篇文章 Ubuntu 16.04 安裝 fail2ban 最早出現於 記下來。

fail2ban 是一個防護工具，可以設定某些連線方式，錯誤達到特定次數時，將該 IP 封鎖設指定時間，在開放的網路中，只要去看 log 就可以發現，主機是時時被不知道哪來的機器嘗試登入啊！

水可載舟亦可覆舟，昨天小蛙要測試 VSC sftp 插件的時候，設定錯誤造成太多登入失敗的狀況，結果自己的 IP 被自己的 VPS 封鎖了，想連上去都沒辦法，還好一般 VPS 供應商都會提供一個後台可以讓你沒辦法登入的時候，可以透過後台做一些操作，像是重啟、關機、重裝 OS … 等功能，還有額外提供一個 Serial Console 的功能，直接在網頁上遠端進去主機做一些操作。

先到 這邊 查詢自己的 IP，因為小蛙已經沒有辦法透過 pietty 登入了，只能透過 Serial Console 來操控機器，連進主機之後，透過以下指令可以看到是不是自己的 IP 真的被封鎖了，還是另有其他問題。

# iptables -nvL | grep 目前使用的 IP 

如果有的話，可以用以下指令解禁

// 查看目前有哪些 jail 設定 
# fail2ban-client status 

// 解鎖 
# fail2ban-client set sshd unbanip 要解鎖的 IP

參考資料

• 手動解除 Fail2ban 封鎖的 IP – Linux 技術手札

fail2ban 系列：

• Ubuntu 16.04 安裝 fail2ban
• 讓 fail2ban 可以設定永久 ban 名單
• 自己被 fail2ban 封鎖的解決方法

這篇文章 自己被 fail2ban 封鎖的解決方法 最早出現於 記下來。

小蛙一直有一個疑問，貌似 fail2ban 重啟之後加回 ban 清單的 IP 列表，是重新從目前的 log 中掃出來的，對小蛙來說，這些「不速之客」就是應該被永久 ban 掉，如果不小心自己被 ban 了，也可以透過 自己被 Fail2ban 封鎖的解決方法 來解救自己，但是 fail2ban 重啟或重開機之後，得到的 ban 清單卻是當下的 log，而小蛙的 log 會自己截斷，也就是幾天前、上周、上月 … 等被 ban 的 IP，因為重開機之後又起死回生了 … ( 小蛙沒有實際測試，不過看起來沒有地方儲存這些資料，有很大的這種可能性 )

於是在網路上找到了這篇 Configure Fail2Ban for permanent and persistent bans 教學，這裡強調需要修改的東西很簡單，小蛙實際做了也很簡單，閱讀英文沒有問題的朋友可直接點過去，這邊小蛙記錄作法跟遇到的問題。

設定永久封鎖

以小蛙的 Ubuntu 16.04 為例，fail2ban 設定檔放在 /etc/fail2ban/jail.conf，在 [DEFAULT] 以下，直到下一個區塊(例如：[sshd]) 之前都是屬於上面區塊的設定，而下方區塊的設定會覆蓋上方區塊的，例如：[DEFAULT]設定了 bantime = -1，但是在 [sshd]區塊中又設定 bantime = 60，則 sshd 服務中會以該區塊地為主，總之[DEFAULT]就是所有的基礎設定，要設定永久封鎖很簡單，只要設定 bantime = -1 就可以了。

建立永久封鎖清單

上面提到說只要重啟或是重新開機，所有的封鎖清單就會 unban 掉，也就是下次開啟之後，封鎖清單是空白的，fail2ban 再依照設定的時間、服務類型、log 位置 … 等資訊慢慢一個一個 ban 回去，該文章使用的方式是在 ban 的當下，讓 fail2ban 多寫一個叫做persistent.bans的檔案，這樣下次重開機或是重啟 fail2ban 的時候，雖然原本 ban 的會先 unban，但是手上還是有封鎖清單，再讓 fail2ban 把它們 ban 回去就好了，雖不完美，但是的確可以達到小蛙的需求，確定之後就著手設定。

首先，建立 /etc/fail2ban/persistent.bans 檔案，要改別的名字或放別的地方也可以，只是後面的路徑要記得跟著改就是了。

設定載入及增加清單

fail2ban 是透過 /etc/fail2ban/action.d/iptables-multiport.conf 來做 ban IP 的，我們需要做

• 在 fail2ban 啟動時呼叫的 actionstart 中加載永久封鎖清單
• 在 fail2ban 做 ban IP 動作的時候，將該 IP 寫入永久封鎖清單中

在上述檔案中找到 actionstart 在既有的動作下，加入 4, 5 兩行

actionstart = <iptables> -N f2b-<name>
			  <iptables> -A  f2b-<name> -j <returntype>
			  <iptables> -I <chain> -p <protocol> -m multiport --dports  <port> -j <name> cat  /etc/fail2ban/persistent.bans | awk '/^fail2ban-<name>/ {print $2}' \ | while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j <blocktype>; done

接著在 actionban 既有動作下，加入第二行

actionban = <iptables> -I f2b-<name> 1 -s <ip> -j <blocktype> echo "fail2ban-<name> <ip>" >> /etc/fail2ban/persistent.bans

再來重啟 fail2ban 就大功告成了，小蛙這邊之前一直測試都失敗 … 後來才發現 … 自己加錯加到 actionunban 後面 … 難怪怎麼樣 persistent.bans 都不會有內容啊 …

後續更新

2018-11-19 發現會有重複 IP 的問題，找到解決方法後會再更新上來。

fail2ban 系列：

• Ubuntu 16.04 安裝 fail2ban
• 讓 fail2ban 可以設定永久 ban 名單
• 自己被 fail2ban 封鎖的解決方法

這篇文章 讓 fail2ban 可以設定永久 ban 名單 最早出現於 記下來。