fail2ban分析日志拦截非法访问

fail2ban分析日志拦截非法访问

fail2ban简介

其扫描日志文件(如/var/log/nginx/access.log)并禁止显示恶意行为的IP–密码过多失败,扫描漏洞等。通常,Fail2Ban将用于更新防火墙规则以指定的时间量内拒绝IP地址 ,但是也可以执行其他动作(例如发送电子邮件)。 Fail2Ban默认支持(nginx,apache,courier,ssh等)多种日志分析规则。

fail2ban + nginx 拦截cc攻击的配置

添加日志分析规则

vim /etc/fail2ban/filter.d/nginx-cc.conf 尾部追加

[Definition]
failregex = -.*- .*HTTP/1.* .* .*$
ignoreregex =

保存文件

添加fail2ban配置

vim /etc/fail2ban/jail.conf 尾部追加

[http-cc]
enabled = true
port = http,https
filter = nginx-cc
logpath = /var/log/nginx/access.log
action = iptables-multiport[name=nginxcc, port="http,https", protocol=tcp]
maxretry = 480
findtime = 60
bantime = 86400

保存文件

重启fail2ban

systemctl restart fail2ban

验证是否成功

cat /var/log/fail2ban.log | more

发表评论

电子邮件地址不会被公开。 必填项已用*标注