Linux防SSH暴力破解教程

fail2ban确实能有效防御SSH暴力破解，但绝非装完即用的“银弹”——它必须精准配置日志路径、启用sshd jail、匹配系统防火墙后端（如nftables或iptables），并严格结合禁root登录、关闭密码认证、修改SSH端口、收紧云安全组等基础加固措施，否则极易因配置错位（如logpath不匹配、port未同步、action不兼容）导致封禁失效；真正可靠的安全是主动加固与智能封禁的双重防线，而非依赖单一工具。

fail2ban 能不能直接防住 SSH 暴力破解？

能，但不是开箱即用——它必须配合正确的日志路径、过滤规则和防火墙动作才能生效。很多用户装完 fail2ban 就以为万事大吉，结果发现攻击 IP 依然在狂刷 /var/log/secure 或 /var/log/auth.log，根本没被封。

关键原因有三个：
• fail2ban 默认不启用任何 jail（比如 [sshd]），必须手动开启；
• 日志路径写错（logpath）会导致它压根“看不见”失败登录；
• 后端动作没配对（比如用了 iptables 动作，但系统实际用的是 firewalld），封 IP 就是空转。

怎么配 jail.local 才算真正生效？

别动 /etc/fail2ban/jail.conf，所有修改必须写进 /etc/fail2ban/jail.local（先 cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local）。重点只改这几项：

• ignoreip = 127.0.0.1/8 192.168.1.0/24 —— 把你自己的办公网段加进去，不然一测就把自己锁门外
• maxretry = 3 —— 太高（如 5）等于放水；太低（如 1）容易误杀（输错一次密码就被封）
• findtime = 600（单位秒）—— 10 分钟内累计失败才触发，比按小时统计更及时
• bantime = 86400 —— 封 24 小时够狠，但别设成 -1（永久封），后期排查麻烦
• [sshd] 区块里必须写 enabled = true，且 logpath 要严格匹配你的系统：
  　　CentOS/RHEL： logpath = /var/log/secure
  　　Ubuntu/Debian：logpath = /var/log/auth.log

为什么 fail2ban-client status sshd 显示 0 个 banned IP？

常见于三种情况：

• SSH 服务没用默认端口（比如改成了 Port 2222），但 jail.local 里没同步改 port = 2222，导致 fail2ban 还在盯 22 端口的 log
• SELinux 或 firewalld 拦截了 fail2ban 的 iptables 调用（尤其 CentOS 8+ 默认用 nftables），得换动作：action = nftables[name=SSH, port=ssh, protocol=tcp]
• 攻击流量根本没进 SSH 认证环节（比如被云厂商安全组或 WAF 先拦了），fail2ban 只能处理已到达系统的失败登录，对 SYN Flood 或端口扫描无能为力

fail2ban 不是万能解药，必须搭配基础加固

单靠 fail2ban 封 IP 是被动防御，攻击者换个 IP 又来。真正降低风险得组合出拳：

• 禁掉 root 远程登录：PermitRootLogin no 在 /etc/ssh/sshd_config 里设死
• 关掉密码登录，只留密钥：PasswordAuthentication no + PubkeyAuthentication yes
• 把 SSH 端口挪到 10000 以上（比如 Port 22022），能过滤掉 90% 的自动化扫段脚本
• 云服务器务必收紧安全组：只放你办公室或家庭宽带的固定 IP，别开 0.0.0.0/0

最常被忽略的一点：改完 sshd_config 必须 systemctl restart sshd，且**新开一个终端验证新用户能登再关旧连接**——否则配置错一条，你就真进不去了。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。