Fail2ban：防 CC 最大重试次数全攻略

一、Fail2ban 简介

Fail2ban 是一款用于保护 Linux 服务器免受恶意攻击的强大工具。它以 Python 编程语言编写，基于服务器的日志文件工作，如 /var/log/auth.log、/var/log/apache/access.log 等。通过扫描这些日志，Fail2ban 能够检测到恶意行为，例如密码尝试失败过多、寻找漏洞等标志，并自动禁止攻击者的 IP 地址。
通常，Fail2ban 用于更新防火墙规则，在指定的时间内拒绝 IP 地址访问服务器。它还可以发送邮件通知管理员，以便及时了解服务器的安全状况。Fail2ban 为各种服务提供了许多过滤器，如 ssh、apache、nginx、squid、named、mysql、nagios 等，能够有效地降低错误认证尝试的速度。然而，需要注意的是，它不能消除弱认证带来的风险，只是服务器防止暴力攻击的安全手段之一。

二、设置最大重试次数的重要性

在使用 Fail2ban 进行防 CC 攻击时，合理设置最大重试次数至关重要。
一方面，设置适当的最大重试次数可以有效避免服务器资源被恶意消耗。如果最大重试次数设置得过高，攻击者可能会在较长时间内持续进行恶意尝试，从而占用服务器的 CPU、内存和网络带宽等资源，影响服务器的正常运行和为合法用户提供服务的质量。例如，当服务器遭受 CC 攻击时，如果没有合理设置最大重试次数，攻击者可以不断发送大量请求，导致服务器负载过高，甚至可能使服务器崩溃。
另一方面，合理的最大重试次数可以提高服务器的安全性。通过限制恶意尝试的次数，可以降低攻击者成功入侵服务器的可能性。例如，在 Fail2ban 的配置中，如果将最大重试次数设置为一个较低的值，并结合适当的封禁时间和查找时间，可以在攻击者进行少量恶意尝试后就及时封禁其 IP 地址，从而有效地阻止攻击。
不同的应用场景可能需要不同的最大重试次数设置。例如，对于安全性要求较高的服务器，可能需要设置较低的最大重试次数，以便在攻击者进行较少的尝试后就触发封禁。而对于一些允许一定程度的错误尝试的应用，可以适当提高最大重试次数。
总之，合理设置最大重试次数是 Fail2ban 有效防止 CC 攻击、保护服务器资源和提高服务器安全性的重要环节。

三、如何确定最大重试次数

1. 参考常见设置介绍一般情况下最大重试次数的常见取值，如很多配置中将最大重试次数设置为 3 次或 5 次等。

在 Fail2Ban 的配置中，常见的最大重试次数取值有 3 次和 5 次。例如，在一些配置文件中，如 /etc/fail2ban/jail.local，可以将 [sshd] 的最大重试次数设置为 3 次，即 “[sshd] maxretry = 3”。这意味着当检测到某个 IP 在特定时间窗口内对 SSH 服务的登录尝试失败达到 3 次时，Fail2Ban 就会触发相应的动作，如禁止该 IP 地址访问服务器。

2. 根据实际情况调整阐述可根据服务器流量、安全需求等实际情况来调整最大重试次数。

最大重试次数的设置并非固定不变，需要根据服务器的实际情况进行调整。如果服务器流量较大，可能需要适当提高最大重试次数，以避免误判正常用户的请求为恶意攻击。例如，对于一些高流量的网站服务器，可能将最大重试次数设置为 5 次甚至更高。
然而，如果服务器的安全需求较高，为了更严格地保护服务器资源和数据安全，可以设置较低的最大重试次数。比如，对于存储敏感信息的服务器，可能将最大重试次数设置为 2 次或 3 次，以便在攻击者进行较少的尝试后就及时封禁其 IP 地址。
总之，在确定最大重试次数时，需要综合考虑服务器的流量、安全需求等因素，以达到既能有效防止恶意攻击，又能尽量减少对正常用户的影响的目的。

四、设置最大重试次数的具体方法

1. 配置文件路径

Fail2ban 的配置文件路径通常为 /etc/fail2ban/jail.local。这个文件是 Fail2ban 配置的核心之一，通过对其进行编辑，可以调整各种参数以满足不同的安全需求。

2. 具体配置项

在配置文件中，可以找到 maxretry 选项来设置最大重试次数。例如，在 [sshd] 部分，可以设置 “maxretry = X”，其中 X 为具体的数字，表示在特定时间窗口内，当某个 IP 对 SSH 服务的登录尝试失败次数达到 X 时，Fail2ban 就会触发相应的动作，如禁止该 IP 地址访问服务器。又如在配置 Nginx 的防护时，可以在 [nginx] 部分设置类似的参数。比如 “[nginx] enabled = true filter = nginx logpath = /var/log/nginx/error.log port =80,443 maxretry = Y”，这里的 Y 也是一个具体的数字，决定了在特定时间内对 Nginx 的请求失败达到 Y 次时触发 Fail2ban 的封禁动作。对于不同的服务和应用场景，可以根据实际情况灵活调整这个参数的值。

五、测试与验证

1. 测试方法介绍如何通过在另一台 VPS 上执行脚本来测试监控目标是否按预期执行。

接下来可以测试监控目标是否按期执行，我们可以在另外一台 VPS 上，执行下面的脚本测试能否出发封禁：

#!/bin/bash
for ((i=1;i<=20;i++)); do
curl https://tlanyan.me/test.php
done
echo "done"
注意，不能测试 test.png，因为过滤规则配置了忽略 png、jpg 等后缀。执行完脚本后过一两分钟，再次执行，应该会提示无法连接到服务器，与预期相符。

2. 查看监控状态讲解使用 fail2ban-client 查看监控状态及误杀处理方法。

fail2ban 提供了 fail2ban-client 查看监控状态。Banned IP list 列出了当前被封禁的 IP。如果发现有误杀 IP，可以用 unbanip 解封：

fail2ban-client set nginxcc unbanip IP 地址
fail2ban 的日志文件是 /var/log/fail2ban.log；同一个监控目标中可以配置多个日志文件、action，同一个过滤规则中可以写多条正则
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。