Fail2ban即可以用系統自帶的防火墻， 如Linux的iptables或FreeBSD的ipfw， 又可以換用tcpd， 此外還可以擴展到其它網絡服務， 目前我主要使用在監控22端口， 以及/var/log/secure日志， 主要是那些非法訪問的日志， 當發現某個IP在一個定義的時間段內， 嘗試SSH密碼失敗達到一個定義的次數， 則利用LINUX的iptables阻止改IP一個定義的時間段， 當然， 也可以無期限的阻止。

下載地址http://fail2ban.sourceforge.net/， 在download中選擇適合自己操作系統的版本下載， 我選擇的是REDHAT版本， 該系統下軟件沒有部分其它版本高， 不過沒關系， 已經完全滿足我們的需求。

下載fail2ban-0.6.2-1brn.src.rpm， 由于0.6.1版本有時間判斷上的BUG， 并且使用源代碼重新編譯可以更加的和實際系統環境配合， 達到最好的性能， 所以...選擇的這個版本的源代碼包。

rpmbuild --rebuild fail2ban-0.6.2-1brn.src.rpm

從編譯日志可以得知編譯好的RPM在/usr/src/redhat/RPMS/noarch/fail2ban-0.6.2-1brn.noarch.rpm

rpm -Uvh /usr/src/redhat/RPMS/noarch/fail2ban-0.6.2-1brn.noarch.rpm

執行文件已經在 /etc/init.d/fail2ban ， 并且作為一個服務可以用service fail2ban {start stop status restart condrestart}來進行操作

配置文件在/etc/fail2ban.conf

默認配置就是監控SSH端口和日志， 所以我未作大的改動， 有興趣的兄弟可以嘗試監控其它服務的日志和端口。

我改了一下幾個參數：

“locale = ”改為“locale = en_US”， 這個主要是為了時間格式的匹配， 反正0.6.1版本有這個BUG并且沒這個參數， 導致我安裝后無法使用， 安裝0.6.2后正常。

“maxfailures = 3”， 這個其實就是最大嘗試次數， 在后面定義的時間區間如果超過了這個嘗試次數將阻止IP訪問SSH端口。

“bantime = 3600”， 其實就是阻止的時間段， 當達到阻止條件的時候， 阻止該IP訪問SSH端口3600秒， 文檔說如果設為“-1”就是永久阻止， 各位可以視自己情況設定。

“findtime = 60”， 這個參數就是嘗試的時間段， 在這個時間段內判斷前面嘗試次數， 達到則阻止其它參數我沒動， 等有時間了再研究。

啟動方法很簡單， 這里就不說了。