为了对抗互联网背景噪音，写了一个 fail2ban。

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

请不要在回答技术问题时复制粘贴 AI 生成的内容

这是一个创建于 824 天前的主题，其中的信息可能已经有所发展或是发生改变。

本来想用现成的 py 工具，结果服务器弄了半天配置没生效，想一想原理也不复杂，还是自己手动写一个吧。

就两步，第一步收集/var/log/auth.log 失败的 sshd 日志。第二步根据登录失败次数排序，用程序自动化添加 ip 到 iptables drop 黑名单里。

本来以为把 ssh 的 22 端口，换到别的端口能解决问题，结果并不是。以前也不关心这些，心想 opensshd 密码那么强，完全不可能攻破。但是我发现有些 ip 不讲武德，短时间内连续暴力 sshd 密码破解上千次，这种情况还不少，白白为这些互联网噪音，浪费流量，浪费 CPU 资源，不值得。

sshd

log

黑名单

端口

23 条回复 2023-07-12 12:52:48 +08:00

RoccoShi

2023-07-10 13:39:23 +08:00

现成的 fail2ban 有什么问题?

tool2d

2023-07-10 13:41:44 +08:00

@RoccoShi banaction 没生效，我也不知道为啥。

自己写 fail2ban ，以后还有别的用途。www 这种服务也需要一大堆 IP 黑名单。

ysicing

2023-07-10 14:05:53 +08:00

我自己写了一个程序，收集所有我认为的黑 ip ，然后所有服务器共享

u20237

2023-07-10 14:10:46 +08:00

没人访问我的网站怎么办？我只适合使用 ipv6 80 做 HTTP 服务（我不开防火墙，但一些人访问不到，也有一些人能访问的到）

hxy100

2023-07-10 14:11:57 +08:00

现成的 fail2ban 也支持 www 等各种服务啊，估计是你自己暂时没玩明白。

u20237

2023-07-10 14:14:33 +08:00

既然是 Linux ，难道还有解决不了的网络配置问题？

deplivesb

2023-07-10 14:17:43 +08:00

现有的 fail2ban 不都可以么？

tool2d

2023-07-10 14:23:57 +08:00

@deplivesb 是可以，不过在 chatgpt 的帮助下，相关代码很简单，一个晚上就搞定了，就当成是一个练手项目了。

tool2d

2023-07-10 14:25:26 +08:00

@hxy100 "现成的 fail2ban 也支持 www 等各种服务啊"

我的意思是用接口的形式，去对接 www 服务。不仅仅是分析日志。

有些 www 内部错误全部输出到日志没太大必要。

linuxgo

2023-07-10 15:56:53 +08:00

我的 fail2ban 连续 5 次 ssh 错误就永久 ban 掉，很好用啊，还用自己重写

kkocdko

2023-07-10 17:20:47 +08:00

SSH 密码被暴力破解其实占用不了多少系统资源，可以自行分析一下，自己暴破一下然后看看系统负载。无论你用的是 OpenSSH 还是什么别的服务端，“上千次”这个量级都不会有任何问题。

fail2ban 这种依赖于日志分析的实现本质上是很不可靠的，而且 IP 换来换去，黑名单列表会越来越大，我曾经见过有个人的 ip 很有规律，结果没有开 fail2ban 之前还好，开了之后内存占用几天后涨到数十兆的情况。

如果你依然觉得被不断尝试很不爽，很无聊，那么目前流行的方法是使用 knockd 。