相信很多运维朋友都有过这样的经历:查看服务器认证日志时,发现一大堆来自世界各地IP的失败登录尝试。它们像不知疲倦的“敲门贼”,反复尝试用各种用户名和密码组合登录你的SSH或SFTP服务。这种攻击就是“暴力破解”。如果密码不够强壮,服务器迟早会被攻破。

今天,我们就来聊聊如何为常用的ProFTPD服务(它通常也提供SFTP功能)打造一个智能的“门卫”——fail2ban。这个“门卫”能自动分析日志,一旦发现某个IP在短时间内多次登录失败,就临时把它关进“小黑屋”(封禁IP),从而极大地提升服务器的安全性。

一、 暴力破解与我们的“智能门卫”fail2ban

暴力破解攻击本身并不高明,就是靠自动化脚本高速、持续地尝试登录。防御它的核心思路很简单:识别异常行为,并迅速阻断其来源。

手动去查看日志、然后拉黑IP,效率太低,也不现实。这时,fail2ban就闪亮登场了。它的工作原理就像一个自动化流水线:

  1. 监控:持续监控指定的日志文件(比如 /var/log/secure 或 ProFTPD的日志)。
  2. 过滤:使用预定义的“规则”(filter),在日志中匹配失败登录的模式。
  3. 计数:在设定的时间窗口内,对来自同一IP的失败次数进行计数。
  4. 行动:一旦某个IP的失败次数超过阈值(maxretry),就触发相应的“行动”(action),比如调用iptables或firewalld命令,将该IP封禁一段时间(bantime)。

整个过程完全自动化,让你从繁琐的日常安全巡检中解放出来。

二、 部署前的准备工作:安装与基础认知

在开始配置之前,我们需要先把fail2ban请到我们的服务器上。这里以最常见的CentOS/RHEL系列和Debian/Ubuntu系列为例。

技术栈:Linux (CentOS 8 / Ubuntu 20.04), fail2ban, ProFTPD, firewalld/iptables

1. 安装fail2ban:

# 对于 CentOS/RHEL 8 或以上版本(使用dnf包管理器)
sudo dnf install epel-release -y  # 先安装EPEL仓库
sudo dnf install fail2ban -y

# 对于 Ubuntu/Debian 系统(使用apt包管理器)
sudo apt update
sudo apt install fail2ban -y

2. 了解核心目录结构: 安装完成后,你需要知道这几个关键位置,这能帮助你理解后续配置:

  • /etc/fail2ban/: fail2ban的主配置目录。
    • jail.conf主配置文件,不建议直接修改! 系统更新可能会覆盖它。
    • jail.d/: 存放自定义的监控策略(jail)文件。我们在这里创建自己的配置。
    • filter.d/: 存放各种日志过滤规则(filter)。里面有现成的sshd.conf,我们可能也需要为ProFTPD创建或修改一个。
    • action.d/: 存放封禁时执行的动作脚本,如iptables.conf, firewalld.conf

最佳实践是:将你需要自定义的配置放在 jail.localjail.d/*.local 文件中,这样它们会覆盖默认配置,且不会被系统更新影响。

三、 核心配置实战:为ProFTPD/SFTP配置fail2ban

ProFTPD可以通过模块支持SFTP,而SFTP连接底层走的是SSH协议。因此,攻击者实际上是针对**SSH端口(默认22)**进行暴力破解。我们的防御也主要围绕SSH日志进行。但思路是通用的,即使你的ProFTPD运行在独立模式,只需调整日志路径和过滤规则即可。

场景假设:我们的ProFTPD使用SFTP方式,SSH服务正常运行,日志记录在 /var/log/secure(CentOS)或 /var/log/auth.log(Ubuntu)。

步骤1:创建或修改监控策略(Jail) 我们创建一个独立的配置文件,这样更清晰。

sudo vim /etc/fail2ban/jail.d/proftpd-ssh.local

将以下内容写入该文件,关键参数都有详细注释:

# 技术栈:Fail2ban Jail Configuration
# 配置文件:/etc/fail2ban/jail.d/proftpd-ssh.local
# 作用:定义保护SSH/SFTP端口的策略

[proftpd-ssh]                       # 策略名称,可以自定义,如 [sftp-guard]
enabled = true                      # 启用此策略
port = ssh                          # 要保护的端口,`ssh` 代表22端口,也可写具体端口号如 2222
filter = sshd                       # 使用的过滤规则名称,对应 /etc/fail2ban/filter.d/sshd.conf
# 根据你的系统选择正确的日志路径
logpath = /var/log/secure           # CentOS/RHEL 系统的认证日志路径
# logpath = /var/log/auth.log       # Ubuntu/Debian 系统的认证日志路径,启用时注释掉上一行
maxretry = 5                        # 最大尝试次数。5分钟内失败5次即触发封禁
findtime = 300                      # 查找时间窗口(秒),即300秒(5分钟)内的失败记录
bantime = 3600                      # 封禁时长(秒),3600秒=1小时。可设置为 -1 永久封禁(慎用)
ignoreip = 127.0.0.1/8 192.168.1.0/24 # 白名单IP段,本地和信任的内网IP不会被封禁
banaction = firewallcmd-ipset       # 封禁动作(CentOS 8+ 使用 firewalld)。Ubuntu可使用 `iptables` 或 `ufw`
action = %(action_mwl)s             # 触发封禁时执行的动作。`mwl` 表示:邮件通知(mail)、封禁IP、记录日志(Log)
                                    # 需要邮件功能需额外配置

步骤2:检查并调整SSH过滤规则(Filter) 默认的 sshd 过滤规则通常已经能很好地匹配常见的SSH登录失败信息。但为了确保万无一失,我们可以看一眼。关键是要确认日志中的失败行能被正确匹配。

查看一下默认规则的关键部分:

sudo grep -A 5 -B 5 "Failed password" /etc/fail2ban/filter.d/sshd.conf

你应该能看到类似 ^%(__prefix_line)sFailed password .* from <HOST> 这样的正则表达式行,它就是用来捕获失败登录IP的。

步骤3:启动并测试fail2ban服务 配置完成后,重启fail2ban服务使其生效。

# 重新加载配置并重启服务
sudo systemctl restart fail2ban
# 设置开机自启
sudo systemctl enable fail2ban
# 查看服务状态,确保运行正常
sudo systemctl status fail2ban

现在,fail2ban已经开始工作了。我们可以用以下命令查看监控状态:

# 查看所有已启用的监控策略(Jail)状态
sudo fail2ban-client status
# 查看我们刚配置的 `proftpd-ssh` 策略的详细状态,包括当前被禁IP列表
sudo fail2ban-client status proftpd-ssh

步骤4:模拟测试(谨慎操作) 为了验证配置是否生效,可以在测试环境或从一个可牺牲的IP进行模拟失败登录。

  1. 从另一台机器,用错误的密码尝试SSH登录你的服务器多次(超过5次)。 
    ssh wrong_user@你的服务器IP
  2. 快速回到服务器上检查封禁状态: 
    sudo fail2ban-client status proftpd-ssh
    你应该能在“Banned IP list”中看到测试机的IP地址。
  3. 同时,测试机的SSH连接将会被拒绝。

四、 方案的深入分析与应用思考

应用场景:

  • 任何暴露SSH或FTP/SFTP服务的Linux服务器,尤其是公网可访问的VPS、云主机。
  • 拥有多个服务器的运维环境,可以通过Ansible等工具批量部署此配置,统一提升基础安全水位。
  • 作为纵深防御体系中的一环,与强密码策略、密钥登录、修改默认端口等措施结合使用。

技术优缺点分析:

  • 优点:

    • 自动化程度高:一旦部署,无需人工干预,自动识别并封禁威胁。
    • 资源消耗低:相比一些商业WAF或IPS系统,fail2ban非常轻量。
    • 配置灵活:可以针对不同服务(如Nginx、MySQL)、不同日志格式定制过滤规则和封禁策略。
    • 社区支持好:拥有大量现成的过滤规则(filter),开箱即用或稍作修改即可。
    • 效果显著:能立即阻止绝大部分自动化脚本的暴力破解尝试。

  • 缺点与局限性:

    • “事后诸葛亮”:只有在攻击者开始尝试并留下日志后才会封禁,属于被动防御。
    • 可能误封:如果用户(或自动化脚本)自己多次输错密码,会导致IP被临时封禁,影响正常业务。可通过 ignoreip 设置可信IP来缓解。
    • 对抗分布式攻击(DDoS型暴力破解)能力有限:如果攻击者使用成千上万个不同的IP进行低频尝试(每个IP尝试次数低于阈值),fail2ban难以有效应对。这需要更复杂的威胁情报或基于行为的分析。
    • 依赖日志准确性:如果服务日志格式变化或路径错误,会导致监控失效。

重要注意事项:

  1. 严防“自锁”:在配置和测试时,务必确保当前使用的管理IP在 ignoreip 白名单中。否则一旦触发规则,你会把自己关在服务器门外。
  2. 封禁时间设置:生产环境不建议设置 bantime = -1(永久封禁),除非确认是明确的恶意攻击源。合理的封禁时间(如几小时到一天)既能起到威慑作用,又避免了因误封或IP动态分配带来的长期问题。
  3. 日志轮转(Logrotate):确保fail2ban能正确处理被轮转(如压缩、重命名)后的日志文件。现代版本的fail2ban通常能很好地处理这个问题。
  4. 多一层保护:fail2ban是优秀的安全补充,但绝不能替代基础安全措施:使用SSH密钥登录、禁用root密码登录、使用非22端口、保持系统和软件更新、设置强密码策略等。
  5. 监控fail2ban本身:将fail2ban自身的日志(/var/log/fail2ban.log)纳入你的监控体系,观察封禁频率和模式,这本身也是了解服务器所受攻击情况的一个窗口。

五、 总结

通过本文的讲解,我们可以看到,利用fail2ban为ProFTPD(SSH/SFTP)服务搭建一道自动防暴力破解的防线,是一个成本极低、效果立竿见影的安全实践。它就像一位7x24小时不知疲倦的安全分析员,牢牢地盯着你的认证日志,将那些不怀好意的“访客”果断拒之门外。

整个配置过程的核心在于理解“监控策略(jail)”与“过滤规则(filter)”的配合,并正确设置阈值、时间和白名单。虽然它无法防御所有类型的攻击,但作为服务器安全“标配”的一部分,能帮你过滤掉90%以上的自动化脚本攻击,为你的系统稳固性加上一道重要的保险。

安全是一个持续的过程,从配置好fail2ban的这一刻开始,你的服务器已经变得更加坚韧。但请记住,保持警惕,定期审查日志和规则,与其他安全措施协同工作,才能构建起真正可靠的防御体系。