fail2ban分析日志拦截非法访问
fail2ban简介
其扫描日志文件(如/var/log/nginx/access.log)并禁止显示恶意行为的IP–密码过多失败,扫描漏洞等。通常,Fail2Ban将用于更新防火墙规则以指定的时间量内拒绝IP地址 ,但是也可以执行其他动作(例如发送电子邮件)。 Fail2Ban默认支持(nginx,apache,courier,ssh等)多种日志分析规则。
fail2ban + nginx 拦截cc攻击的配置
添加日志分析规则
vim /etc/fail2ban/filter.d/nginx-cc.conf 尾部追加
[Definition]
failregex = -.*- .*HTTP/1.* .* .*$
ignoreregex =
保存文件
添加fail2ban配置
vim /etc/fail2ban/jail.conf 尾部追加
[http-cc]
enabled = true
port = http,https
filter = nginx-cc
logpath = /var/log/nginx/access.log
action = iptables-multiport[name=nginxcc, port="http,https", protocol=tcp]
maxretry = 480
findtime = 60
bantime = 86400
保存文件
重启fail2ban
systemctl restart fail2ban
验证是否成功
cat /var/log/fail2ban.log | more