安全
网络/数据安全(如 DDoS、防火墙、TLS 等)主题
📘 Fail2ban
配置访问频率限制
安装 Fail2ban
terminal
# 更新软件包列表
sudo apt update
# 安装 fail2ban
sudo apt install fail2ban -y
# 检查安装状态
sudo systemctl status fail2ban
# 设置开机自启动
sudo systemctl enable fail2ban
禁用默认 Jail 配置(可选)
首先需要禁用默认的 jail 以避免错误:
terminal
# 创建 jail.local 文件来覆盖默认配置
vi /etc/fail2ban/jail.local
terminal
[DEFAULT]
# 默认配置
ignoreip = 127.0.0.1/8 ::1
bantime = 3600
findtime = 600
maxretry = 5
# 禁用所有默认 jail
[sshd]
enabled = false
[sshd-ddos]
enabled = false
[dropbear]
enabled = false
[selinux-ssh]
enabled = false
[apache-auth]
enabled = false
[apache-badbots]
enabled = false
[apache-noscript]
enabled = false
[apache-overflows]
enabled = false
创建自定义过滤器
创建用于解析 Nginx Proxy Manager 日志格式的过滤器:
terminal
vi /etc/fail2ban/filter.d/nginx-proxy-manager.conf
添加以下内容:
terminal
[Definition]
# Nginx Proxy Manager 日志过滤器
# 日志格式: [时间] - 状态码 状态码 - 方法 协议 域名 "路径" [Client IP] [其他信息]...
# 定义失败正则表达式(匹配所有请求)
failregex = \[Client <HOST>\]
# 忽略正则表达式(可选)
ignoreregex =
# 日期格式定义
datepattern = ^\[%%d/%%b/%%Y:%%H:%%M:%%S %%z\]
创建 Jail 配置
创建专门的 jail 配置文件:
terminal
vi /etc/fail2ban/jail.d/nginx-proxy-manager.conf
添加以下内容:
terminal
[nginx-proxy-manager]
# 启用此 jail
enabled = true
# 使用自定义过滤器
filter = nginx-proxy-manager
# 监控的日志文件路径
logpath = proxy-host-15_access.log
# 后端类型
backend = pyinotify
# 最大重试次数(1分钟内1000次)
maxretry = 1000
# 时间窗口(1分钟 = 60秒)
findtime = 60
# 封禁时长(72小时 = 259200秒)
bantime = 259200
# 自定义封禁动作
action = npm-iptables
# 忽略的 IP 地址(可选,添加信任的 IP)
ignoreip = 127.0.0.1/8 ::1
# 192.168.0.0/16
# 10.0.0.0/8
创建自定义动作
创建专门的 jail 配置文件:
terminal
vi /etc/fail2ban/action.d/npm-iptables.conf
添加以下内容:
terminal
[Definition]
# 动作定义
actionstart =
actionstop =
actioncheck =
# 封禁动作
actionban = iptables -I INPUT 1 -s <ip> -j DROP
iptables -I FORWARD 1 -s <ip> -j DROP
# 解封动作
actionunban = iptables -D INPUT -s <ip> -j DROP
iptables -D FORWARD -s <ip> -j DROP
[Init]
# 初始化参数
测试配置
验证过滤器
terminal
# 测试过滤器是否能正确匹配日志
sudo fail2ban-regex proxy-host-15_access.log /etc/fail2ban/filter.d/nginx-proxy-manager.conf
检查 Jail 配置
terminal
# 检查配置语法
sudo fail2ban-client -d
# 查看所有 jail
sudo fail2ban-client status
启动和管理
terminal
# 重启服务以应用新配置
sudo systemctl restart fail2ban
# 检查服务状态
sudo systemctl status fail2ban
常用管理命令
terminal
# 手动封禁 IP
sudo fail2ban-client set nginx-proxy-manager banip 1.2.3.4
# 手动解封 IP
sudo fail2ban-client set nginx-proxy-manager unbanip 1.2.3.4
# 查看被封禁的 IP 列表
sudo fail2ban-client status nginx-proxy-manager | grep "Banned IP"
# 查看 jail 的详细信息
sudo fail2ban-client get nginx-proxy-manager actions
# 重新加载配置
sudo fail2ban-client reload
# 查看日志
sudo tail -f /var/log/fail2ban.log
监控和调试
查看 Fail2ban 日志
terminal
# 实时监控日志
sudo tail -f /var/log/fail2ban.log
# 查看最近的封禁记录
sudo grep "Ban" /var/log/fail2ban.log | tail -20
# 查看最近的解封记录
sudo grep "Unban" /var/log/fail2ban.log | tail -20
查看 iptables 规则
terminal
# 查看 INPUT 链规则
sudo iptables -L INPUT -n -v --line-numbers
# 查看 FORWARD 链规则
sudo iptables -L FORWARD -n -v --line-numbers
📘 日志查看
总访问量频繁的 IP
terminal
cat access.log | awk '{print $12}' |sort |uniq -c |sort -n -k 1 -r|more
查看某个 IP 访问量频繁的 URL
terminal
cat access.log | grep '75.221.79.53' |awk '{print $10}'|sort|uniq -c |sort -n -k 1 -r|more
敏感 SQL 语句
terminal
cat access.log | awk '/select/{print $1}'|sort -n |uniq -c |sort -nr
cat access.log | awk '/\/and\//||/\+and\+/||/%20and%20and/{print $1}'|sort -n|uniq -c|sort -nr
cat access.log | awk '/sleep/{print $1}'|sort -n|uniq -c|sort -nr