踩坑实录:CentOS 默认 Fail2Ban 挡不住高频并发攻击,漏洞修复一步到位

背景

Fail2Ban,是通过扫描文件日志,从而进行防护,这个有个问题,默认为1s扫描一次,但如果这1s内,黑客发起多次请求,套用密码,Fail2Ban会错过这些信息,在1s后才会处理。如下图:

策略配置本来是root,3次失败就应该去Ban的,但1s内发出了好几次。虽然,这个不是什么大事,但既然,黑客攻击升级了,我这边也升级下吧。

操作

直接使用iptables,限制IP每s连接请求,同一个 IP,1 秒内最多只能发起 1 次 SSH 新连接,超过就直接拦截(DROP)。

文件:ssh-protect.sh

代码如下:

bash 复制代码
#!/bin/bash

# ==============================================
# SSH 安全加固脚本
# 功能:1秒内最多允许1次SSH新连接,防止暴力破解
# 一键执行 → 立即生效 → 永久保存
# ==============================================

echo "========================================"
echo "  开始配置 SSH 防暴力破解规则(1秒1次)"
echo "========================================"

# 1. 清空旧规则(避免重复添加)
iptables -D INPUT -p tcp --dport 22 -m state --state NEW -m recent --name ssh_strict --set 2>/dev/null
iptables -D INPUT -p tcp --dport 22 -m state --state NEW -m recent --name ssh_strict --update --seconds 1 --hitcount 2 -j DROP 2>/dev/null

# 2. 添加新规则
# 记录新SSH连接
iptables -A INPUT -p tcp --dport 22 \
  -m state --state NEW \
  -m recent --name ssh_strict --set

# 1秒内超过1次 → 拦截
iptables -A INPUT -p tcp --dport 22 \
  -m state --state NEW \
  -m recent --name ssh_strict --update --seconds 1 --hitcount 2 \
  -j DROP

echo "规则添加完成!"

# 3. 永久保存规则(自动识别系统)
echo -e "\n正在永久保存防火墙规则..."

if [ -f /etc/debian_version ]; then
    # Ubuntu/Debian
    apt install -y iptables-persistent
    netfilter-persistent save
elif [ -f /etc/redhat-release ]; then
    # CentOS/RHEL
    service iptables save 2>/dev/null
    iptables-save > /etc/sysconfig/iptables 2>/dev/null
fi

echo -e "\n全部完成!"
echo "效果:同一个IP 1秒内只能连接SSH 1次,超过直接拦截"
echo "规则已永久保存,重启服务器依然有效!"

赋予权限与运行:

bash 复制代码
chmod +x ssh-protect.sh
./ssh-protect.sh

查看规则:

bash 复制代码
iptables -L -n | grep -A 2 ssh
相关推荐
SkyWalking中文站1 小时前
认识 Horizon UI · 17/17:安装与迁移
运维·监控·自动化运维
SkyWalking中文站1 小时前
认识 Horizon UI · 16/17:八种语言的本地化
运维·监控·自动化运维
郝学胜-神的一滴1 小时前
CMake 038:OBJECT目标复用编译+Linux动态库版本自动化管理
linux·c++·程序人生·软件工程·软件构建·cmake·工程配置
单位圆的日常2 小时前
FRP反向隧道实现异地SSH家用Linux
linux·运维·ssh·frp
小比特_蓝光2 小时前
匿名管道+进程池
linux
BS_Li2 小时前
【Linux网络编程】NAT、代理服务、内网穿透
linux·网络·智能路由器
龙萱坤诺3 小时前
Claude Fable 5 重新开放:最强模型回归
大数据·运维·人工智能
tjl521314_213 小时前
Git SSH Host Key Verification Failed 问题排查与解决
运维·git·ssh
杨云龙UP3 小时前
Windows SQL Server 备份无法传输至异地共享目录排查处理
运维·服务器·数据库·windows·共享·smb·异地备份传输
Thomas.Chan3 小时前
数据中心动环监控系统架构详解
运维·网络·计算机网络·其他·系统架构·数据中心