fail2ban是一款系统监控軟件，可以监控大多数常用服务器軟件，可以监视你的系统日志，然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作，是一款很实用、很强大的軟件!

功能介紹

1、支持大量服務。如sshd,apache,qmail,proftpd,sasl等等

2、支持多种动作。如iptables,tcp-wrapper,shorewall(iptables第三方工具),mail notifications(邮件通知)等等。

3、在logpath選項中支持通配符

4、需要Gamin支持(注：Gamin是用于監視文件和目錄是否更改的服務工具)

5、需要安裝python,iptables,tcp-wrapper,shorewall,Gamin。如果想要發郵件，那必需安裝postfix/sendmail

使用方法

//下载rpmforge (里面有大量最新的rpm包)

# wget URL< 此URL请用扩展阅读中的地址替换>

//安裝rpmforge

# rpm -ivh rpmforge-release-0.3.6-1.el5.rf.i386.rpm

//用yum安裝fail2ban

# yum install fail2ban

安装完成后，fail2ban 的设定档在这里

# /etc/fail2ban

fail2ban.conf 日志设定文档

jail.conf 阻挡设定文档

/etc/fail2ban/filter.d 具体阻挡内容设定目录

默認fail2ban.conf裏面就三個參數，而且都有注釋。

-------------------------------

#默認日志的級別

loglevel = 3

#日志的目的

logt*arget = /var/log/fail2ban.log

#socket的位置

socket = /tmp/fail2ban.sock

-------------------------------

jail.conf配置裏是fail2ban所保護的具體服務的配置，這裏以SSH來講。

在jail.conf裏有一個[DEFAULT]段，在這個段下的參數是全局參數，可以被其它段所覆蓋。

-------------------------------

#忽略IP,在這個清單裏的IP不會被屏蔽

ignoreip = 127.0.0.1 172.13.14.15

#屏蔽時間

bantime = 600

#發現時間，在此期間內重試超過規定次數，會激活fail2ban

findtime = 600

#嘗試次數

maxretry = 3

#日志修改檢測機制

backend = auto

[ssh-iptables]

#激活

enabled = true

#filter的名字，在filter.d目錄下

filter = sshd

#所采用的工作，按照名字可在action.d目錄下找到

action = iptables[name=SSH, port=ssh, protocol=tcp]

mail-whois[name=SSH, dest=root]

#目的分析日志

logpath = /var/log/secure

#覆蓋全局重試次數

maxretry = 5

#覆蓋全局屏蔽時間

bantime = 3600

-------------------------------

對jail.conf進行一定的設置後，就可以使用fail2ban了。

//啓動fail2ban

# service fail2ban start

啓動之後，只要符合filter所定義的正則式規則的日志項出現，就會執行相應的action。