https://www.bufio.cn/tags/security/Recent content in Security on 随手记Hugozh-cn© 2026 <a href="https://beian.miit.gov.cn/" target="_blank" rel="noopener">苏ICP备2023022553号-1</a>Tue, 28 Apr 2026 17:35:00 +0800https://www.bufio.cn/posts/fail2ban-principles-and-operations/Tue, 28 Apr 2026 17:35:00 +0800https://www.bufio.cn/posts/fail2ban-principles-and-operations/<p>Fail2Ban 是 Linux 服务器上很常见的一类安全防护工具，主要用来应对 SSH、Web 登录、邮件服务等场景里的暴力破解和重复异常请求。它不会替代防火墙、密钥登录、最小权限这些基础安全措施，但非常适合做一层自动化封禁：发现某个 IP 在短时间内频繁失败，就把它临时加入黑名单，过一段时间后再自动释放。</p> <p>这篇记录一下 Fail2Ban 的工作原理、安装和开机启动方式、常用规则配置，以及误封后如何把某个 IP 从黑名单里移出来。</p> <h2 id="fail2ban-的工作原理">Fail2Ban 的工作原理</h2> <p>Fail2Ban 的核心逻辑可以概括成四步：</p> <ol> <li>监听日志文件或 systemd journal。</li> <li>用 filter 里的正则表达式匹配失败行为。</li> <li>在指定时间窗口内统计同一个 IP 的失败次数。</li> <li>达到阈值后执行 action，把 IP 加入防火墙黑名单。</li> </ol> <p>这里有几个关键概念。</p> <h2 id="jail">jail</h2> <p><code>jail</code> 是 Fail2Ban 的规则单元。一个 jail 通常对应一个服务，例如 SSH、Nginx、Postfix、Dovecot 等。每个 jail 会指定：</p> <ul> <li>监控哪个服务。</li> <li>读取哪个日志。</li> <li>使用哪个 filter。</li> <li>允许失败多少次。</li> <li>统计时间窗口是多少。</li> <li>封禁多久。</li> <li>使用什么 action 封禁 IP。</li> </ul> <p>例如 SSH 的 jail 就是监听 SSH 登录日志，匹配登录失败记录，当同一个 IP 在一段时间内失败太多，就通过防火墙封禁。</p> <h2 id="filter">filter</h2> <p><code>filter</code> 负责识别“什么日志算失败”。它通常放在：</p> <div class="highlight"><pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">/etc/fail2ban/filter.d/ </span></span></code></pre></div><p>例如 SSH 常见 filter 是：</p>