Fail2ban 部署 + 阿里云服务器 SSH 登录 完整实战复盘
一、 整体目标
- 实现Kali Linux 与阿里云服务器 SSH 密码登录(突破阿里云默认公钥认证限制)
- 在Kali Linux 部署 Fail2ban,实现 SSH 22 端口 3 次失败登录自动封禁 IP(防护暴力破解)
二、 第一部分:阿里云服务器 SSH 密码登录配置(核心前提)
核心问题
阿里云新实例默认禁用密码登录、仅开启公钥认证,普通用户无权限修改系统配置,导致 Kali 直接 SSH 密码登录失败。
操作步骤(按顺序执行,缺一不可)
通过阿里云 Workbench 获取 root 权限
- 登录阿里云 ECS 控制台 → 找到目标服务器 → 点击远程连接→ 选择Workbench 远程连接
- 选择密钥对登录(控制台自动匹配服务器绑定密钥)→ 点击登录,进入普通用户终端
[admin@xxx ~]$ - 切换到 root 超级权限:
bash
运行
sudo -i - 输入
admin或root密码,终端提示符变为[root@xxx ~]#即权限切换成功
修改 SSH 配置,开启密码登录和 root 远程登录在 root 权限终端执行以下 3 条命令(必须 root 权限,否则报
Permission denied):bash
运行
# 1. 开启密码认证功能 sed -i 's/PasswordAuthentication no/PasswordAuthentication yes/' /etc/ssh/sshd_config # 2. 允许 root 用户远程登录 sed -i 's/PermitRootLogin prohibit-password/PermitRootLogin yes/' /etc/ssh/sshd_config # 3. 重启 SSH 服务,让配置生效(关键步骤!不重启配置无效) systemctl restart sshdKali 终端清理旧密钥 + SSH 密码登录
- 回到 Kali 终端,清理本地旧的服务器主机密钥(避免密钥不匹配警告):
bash
运行
ssh-keygen -f '/root/.ssh/known_hosts' -R '你的阿里云服务器公网IP' - 执行 SSH 密码登录命令,强制使用密码认证:
bash
运行
ssh root@你的阿里云服务器公网IP -o PreferredAuthentications=password - 首次连接输入
yes验证主机密钥,再输入阿里云控制台重置的 root 密码 - 终端显示
Welcome to Alibaba Cloud Elastic Compute Service !且提示符变为[root@xxx ~]#→登录成功
- 回到 Kali 终端,清理本地旧的服务器主机密钥(避免密钥不匹配警告):
避坑指南
- 执行
sed命令报错Permission denied→ 未切换到 root 权限,先执行sudo -i - 登录提示
Permission denied (publickey)→ SSH 服务未重启,重新执行systemctl restart sshd
三、 第二部分:Kali Linux 部署 Fail2ban(自动防 SSH 暴力破解)
核心需求
实现:10 分钟内 SSH 登录失败 3 次 → 自动封禁对方 IP 1 小时
操作步骤(分 4 阶段,从安装到验证)
阶段 1:安装 Fail2ban + 依赖防火墙 ufw
bash
运行
# 1. 更新软件源 apt update # 2. 安装 Fail2ban apt install -y fail2ban # 3. 安装 ufw 防火墙(Fail2ban 依赖防火墙实现 IP 封禁) apt install -y ufw # 4. 启用 ufw 防火墙 + 放行 SSH 22端口(避免自己被封禁后无法连接 Kali) ufw enable && ufw allow 22/tcp # 5. 验证 ufw 状态(显示 active 且 22/tcp ALLOW Anywhere 即正常) ufw status阶段 2:核心配置 Fail2ban(关键!解决默认配置冗余报错)
核心思路:全局禁用所有默认无效 jail,仅启用 SSH 22 端口监控,避免 SELinux 等冗余配置干扰。
- 创建并编辑自定义配置文件
jail.local(优先级高于默认配置,更新不覆盖):bash
运行
nano /etc/fail2ban/jail.local - 粘贴以下完整配置(覆盖编辑器空白内容,参数已标注):
ini
# 全局默认配置(所有监控规则继承此配置) [DEFAULT] bantime = 3600 # 封禁 IP 时长:3600秒=1小时(-1 代表永久封禁) findtime = 600 # 检测时间窗口:600秒=10分钟(10分钟内达到阈值才封禁) maxretry = 3 # 失败登录阈值:3次 banaction = ufw # 封禁方式:使用 ufw 防火墙 ignoreip = 127.0.0.1/8 192.168.0.0/16 # 忽略本地/内网 IP,避免误封自己 backend = systemd # 日志后端:适配 Kali 的 systemd 系统 enabled = false # 全局禁用所有默认 jail(关键!杜绝冗余配置报错) # 核心:仅启用 SSH 22端口监控(覆盖全局 enabled=false) [sshd] enabled = true # 单独启用 SSH 监控 maxretry = 3 # 单独设置阈值(可与全局不同) logpath = /var/log/auth.log # Kali SSH 日志固定路径 filter = sshd # 使用 Fail2ban 自带的 sshd 过滤规则 backend = systemd # 单独指定日志后端,确保监控有效 - 保存并退出 nano 编辑器:
- 按
Ctrl+O→ 回车确认文件名 → 按Ctrl+X退出
- 按
阶段 3:启动 Fail2ban + 设置开机自启(解决启动报错)
- 清理残留进程(避免端口被占用导致启动失败):
bash
运行
pkill -9 fail2ban-server pkill -9 fail2ban - 重新加载系统服务配置(确保新配置生效):
bash
运行
systemctl daemon-reload - 启动 Fail2ban 服务(后台运行,不占用终端):
bash
运行
systemctl start fail2ban - 验证服务状态(显示绿色
active (running)即成功):bash
运行
systemctl status fail2ban - 设置开机自启(Kali 重启后自动启动 Fail2ban,防护不中断):
bash
运行
systemctl enable fail2ban - 验证开机自启状态(输出
enabled即设置成功):bash
运行
systemctl is-enabled fail2ban
阶段 4:验证 Fail2ban 核心功能(确保监控生效)
查看加载的监控规则(仅显示
sshd即配置纯净):bash
运行
fail2ban-client status预期输出:
Jail list: sshd查看 SSH 监控详细状态(确认日志和阈值配置生效):
bash
运行
fail2ban-client status sshd预期输出:
plaintext
Status for the jail: sshd |- Filter | |- Currently failed: 0 | |- Total failed: 0 | `- Journal matches: _SYSTEMD_UNIT=ssh.service + _COMM=sshd `- Actions |- Currently banned: 0 |- Total banned: 0 `- Banned IP list:模拟测试封禁功能(关键!验证实战效果)
- 用另一台设备 / 另一 IP 执行 SSH 登录 Kali:
bash
运行
ssh root@你的 Kali IP - 故意输错密码3 次,第 3 次后会直接断开连接,无法再发起 SSH 请求
- 回到 Kali 终端,再次执行
fail2ban-client status sshd→ 会显示被封禁的 IP 及封禁次数
- 用另一台设备 / 另一 IP 执行 SSH 登录 Kali:
阶段 5:Fail2ban 常用管理命令(必记!日常维护)
| 功能 | 命令 |
|---|---|
| 手动解封误封 IP | fail2ban-client set sshd unbanip 被封禁的IP地址 |
| 停止 Fail2ban 服务 | systemctl stop fail2ban |
| 重启 Fail2ban 服务 | systemctl restart fail2ban(修改配置后需执行) |
| 查看 Fail2ban 日志 | tail -20 /var/log/fail2ban/fail2ban.log(排查问题用) |
| 永久封禁 IP(修改配置) | 编辑jail.local,将bantime = 3600改为bantime = -1→ 重启服务 |
避坑指南
- 启动 Fail2ban 报错
Have not found any log file for selinux-ssh jail→ 配置文件中[DEFAULT]加enabled = false,全局禁用默认冗余 jail - 封禁后无法解封 → 确认命令中 IP 地址正确,且 jail 名称为
sshd - ufw 防火墙未启用 → 先执行
ufw enable,否则 Fail2ban 无法封禁 IP
四、 整体总结
- 阿里云 SSH 登录核心:Workbench 提权 → 修改 SSH 配置 → 重启服务 → Kali 清理旧密钥登录
- Fail2ban 部署核心:纯净配置(禁用冗余 jail)→ 依赖 ufw 防火墙 → 后台启动 + 开机自启 → 验证封禁效果
- 关键经验:Linux 权限是基础,配置文件要精简,服务启动后必验证功能