news 2026/7/20 1:42:47

Fail2ban + Nginx/Apache 防 Web 暴力破解配置清单

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
Fail2ban + Nginx/Apache 防 Web 暴力破解配置清单

它是一款 Linux 系统下的入侵防御工具,核心作用是监控系统日志、识别恶意访问行为,并自动封禁对应的 IP 地址,常用于保护 SSH、FTP、Web 服务等。

一、核心工作原理

  1. 监控日志:Fail2ban 会实时读取指定服务的日志文件(比如 SSH 的/var/log/auth.log)。
  2. 匹配规则:通过预设的正则表达式,识别失败的登录尝试(如 SSH 密码错误、Web 暴力破解)。
  3. 触发封禁:当某个 IP 的失败次数在设定时间内达到阈值,就会调用系统防火墙(如iptables/ufw)封禁该 IP,封禁时长可自定义。
  4. 自动解封:封禁时间到期后,会自动从防火墙规则中移除该 IP,恢复访问。

二、安装与基础配置(以 Debian/Ubuntu 为例)

1. 安装 Fail2ban

bash

运行

sudo apt update sudo apt install fail2ban -y
2. 启动并设置开机自启

bash

运行

sudo systemctl start fail2ban sudo systemctl enable fail2ban
3. 核心配置文件说明
配置文件路径作用
/etc/fail2ban/fail2ban.conf全局配置(日志级别、默认封禁时长等,一般无需修改)
/etc/fail2ban/jail.conf预设规则模板(包含 SSH、Apache 等服务的默认配置)
/etc/fail2ban/jail.d/自定义规则目录(推荐在此新建.conf文件覆盖默认配置,避免修改jail.conf

三、快速配置 SSH 防护(最常用场景)

  1. 新建自定义配置文件,避免修改默认配置:

    bash

    运行

    sudo nano /etc/fail2ban/jail.d/ssh.conf
  2. 写入以下内容并保存:

    ini

    [sshd] enabled = true # 开启防护 port = ssh # 防护的端口(默认22) filter = sshd # 使用的规则过滤器(预设) logpath = /var/log/auth.log # 监控的日志文件 maxretry = 3 # 最大失败次数 findtime = 600 # 统计时间窗口(10分钟) bantime = 3600 # 封禁时长(1小时,0为永久封禁) ignoreip = 127.0.0.1/8 # 忽略的IP(可添加自己的办公IP)
  3. 重启 Fail2ban 生效:

    bash

    运行

    sudo systemctl restart fail2ban

四、常用命令

  1. 查看当前封禁的 IP 列表:

    bash

    运行

    sudo fail2ban-client status sshd
  2. 手动解封某个 IP:

    bash

    运行

    sudo fail2ban-client set sshd unbanip 192.168.1.100
  3. 手动封禁某个 IP:

    bash

    运行

    sudo fail2ban-client set sshd banip 192.168.1.100

五、常见问题与解决

  • 封禁后无法访问自己的 IP:在ignoreip中添加自己的 IP,或者手动执行解封命令。
  • 服务不生效:检查日志路径是否正确、防火墙是否正常运行(如iptables -L查看规则)。
  • 适配不同防火墙:默认用iptables,如需用ufw,需在jail.conf中设置banaction = ufw

这份配置针对Web 登录页面暴力破解(如 WordPress 后台、自定义登录页)和404 洪水攻击,分别适配 Nginx 和 Apache 服务。

前置条件

  1. 已安装 Fail2ban(参考之前的安装步骤)
  2. Web 服务日志路径正确且可被 Fail2ban 读取
  3. 防火墙(iptables/ufw)正常运行

一、 Nginx 防护配置

场景 1:防护 WordPress 登录页(wp-login.php

  1. 新建自定义规则文件

    bash

    运行

    sudo nano /etc/fail2ban/jail.d/nginx-wordpress.conf
  2. 写入配置内容

    ini

    [nginx-wp-login] enabled = true port = http,https # 同时防护80和443端口 filter = nginx-wp-login # 对应filter目录下的规则文件 logpath = /var/log/nginx/access.log # Nginx访问日志路径,根据实际情况修改 maxretry = 5 # 5次失败尝试 findtime = 900 # 15分钟内 bantime = 3600 # 封禁1小时 ignoreip = 127.0.0.1/8 # 忽略本地IP,可添加自己的办公IP
  3. 创建过滤规则文件Fail2ban 需要正则规则来匹配失败登录日志,新建 filter 文件:

    bash

    运行

    sudo nano /etc/fail2ban/filter.d/nginx-wp-login.conf
    写入以下内容(匹配wp-login.php的 403/401 错误):

    ini

    [Definition] failregex = ^<HOST> -.*GET /wp-login.php.* (403|401) ignoreregex =

场景 2:防护通用 Web 登录页(自定义 401 错误)

如果是自研登录页,以返回401 Unauthorized为例:

  1. 新建 jail 配置文件/etc/fail2ban/jail.d/nginx-login.conf

    ini

    [nginx-login] enabled = true port = http,https filter = nginx-login logpath = /var/log/nginx/access.log maxretry = 3 findtime = 600 bantime = 7200 ignoreip = 127.0.0.1/8
  2. 新建过滤规则/etc/fail2ban/filter.d/nginx-login.conf

    ini

    [Definition] failregex = ^<HOST> -.*POST /login.* 401 ignoreregex =

二、 Apache 防护配置

场景 1:防护 WordPress 登录页

  1. 新建 jail 配置文件

    bash

    运行

    sudo nano /etc/fail2ban/jail.d/apache-wordpress.conf
    写入内容:

    ini

    [apache-wp-login] enabled = true port = http,https filter = apache-wp-login logpath = /var/log/apache2/access.log # Apache默认日志路径,根据实际修改 maxretry = 5 findtime = 900 bantime = 3600 ignoreip = 127.0.0.1/8
  2. 新建过滤规则文件

    bash

    运行

    sudo nano /etc/fail2ban/filter.d/apache-wp-login.conf
    写入正则匹配规则:

    ini

    [Definition] failregex = ^<HOST> -.*GET /wp-login.php.* (403|401) ignoreregex =

场景 2:防护 404 洪水攻击

针对大量请求不存在页面的攻击行为:

  1. 新建 jail 配置/etc/fail2ban/jail.d/apache-404.conf

    ini

    [apache-404] enabled = true port = http,https filter = apache-404 logpath = /var/log/apache2/access.log maxretry = 20 # 短时间内20次404触发封禁 findtime = 300 # 5分钟窗口 bantime = 3600 ignoreip = 127.0.0.1/8
  2. 新建过滤规则/etc/fail2ban/filter.d/apache-404.conf

    ini

    [Definition] failregex = ^<HOST> -.* 404 ignoreregex =

三、 生效与验证步骤

  1. 重启 Fail2ban 服务

    bash

    运行

    sudo systemctl restart fail2ban
  2. 查看防护规则状态

    bash

    运行

    # 查看所有启用的jail sudo fail2ban-client status # 查看某个具体规则的封禁IP(以nginx-wp-login为例) sudo fail2ban-client status nginx-wp-login
  3. 手动测试封禁(可选)多次访问受防护的登录页并输入错误密码,然后执行上述状态命令,查看自己的 IP 是否被封禁。

四、 常见问题解决

  1. 规则不生效
    • 检查日志路径是否正确:cat /var/log/nginx/access.log确认日志正常生成
    • 验证正则规则:fail2ban-regex /var/log/nginx/access.log /etc/fail2ban/filter.d/nginx-wp-login.conf
  2. 误封正常 IP
    • ignoreip中添加该 IP
    • 手动解封:sudo fail2ban-client set nginx-wp-login unbanip 你的IP
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/19 17:01:36

API对接效率提升80%?深度解析AutoGLM沉思模式的正确打开方式

第一章&#xff1a;API对接效率提升的行业痛点与AutoGLM沉思模式的崛起在现代软件开发中&#xff0c;API对接已成为系统集成的核心环节。然而&#xff0c;频繁的协议差异、文档不规范、接口变更缺乏通知机制等问题&#xff0c;严重拖慢了开发进度。开发团队常需耗费大量时间进行…

作者头像 李华
网站建设 2026/7/18 6:19:02

JS高效解析XML字符串生成树结构

JS高效解析XML字符串生成树结构 在构建大模型系统后台时&#xff0c;一个看似不起眼但极其关键的需求浮出水面&#xff1a;如何快速、流畅地展示成千上万条层级数据&#xff1f;比如你在 ms-swift 平台上管理数百个Qwen、Llama或Ovis系列模型的训练流程&#xff0c;每个模块都有…

作者头像 李华
网站建设 2026/7/18 15:11:27

揭秘Open-AutoGLM部署难题:如何在普通手机上流畅运行大模型

第一章&#xff1a;Open-AutoGLM在移动端的应用前景随着边缘计算与终端智能的快速发展&#xff0c;大型语言模型&#xff08;LLM&#xff09;正逐步向移动设备迁移。Open-AutoGLM作为一款支持自动化推理与轻量化部署的开源语言模型框架&#xff0c;在移动端展现出广阔的应用潜力…

作者头像 李华
网站建设 2026/7/19 9:26:24

Python DataFrame详解:创建、操作与空值处理

Python DataFrame详解&#xff1a;创建、操作与空值处理 在数据分析的日常工作中&#xff0c;你是否经常面对这样的场景&#xff1a;手头有一堆来自不同系统的数据文件——销售记录是Excel表格&#xff0c;用户信息藏在数据库里&#xff0c;日志又以CSV形式存在。这些数据格式不…

作者头像 李华
网站建设 2026/7/19 16:47:32

正方形内两扇形相交阴影面积求解

正方形内两扇形相交阴影面积的深度解析 在各类数学竞赛、管理类联考乃至工程基础测试中&#xff0c;经常出现这样一类图形题&#xff1a;一个正方形内部&#xff0c;以相邻两个顶点为圆心&#xff0c;边长为半径画出两个四分之一圆&#xff0c;求它们重叠部分的面积。这个看似简…

作者头像 李华
网站建设 2026/7/17 17:28:18

数据精准赋能能源转型:高精度模拟量采集模块的能源领域应用实践

能源领域是国民经济的核心支柱&#xff0c;其安全稳定运行、高效利用及绿色转型离不开精准的数据支撑。高精度模拟量采集模块作为数据采集环节的核心组件&#xff0c;广泛应用于智能电网、新能源发电、储能系统、能源优化、能源监测管理等关键场景。 高精度模拟量采集模块能够将…

作者头像 李华