没想到这次宝塔新版本带来了这个好用的插件。因为我之前写过编译安装Fail2ban来实现实现简单防CC/防站点扫描,而且配置起来还是有难度的,宝塔此插件一出,解决了很多站长的问题。
可以参考我之前的文章:宝塔面板安装fail2ban保护nginx服务器。因为Fail2ban版本更新的问题,我配置还出现问题,所以还有这篇文章:宝塔面板配置fail2ban规则后重启失败的问题。说明手动配置Fail2ban还是有一定难度的。
安装Fail2ban插件
首先你必须更新到宝塔面板7.0.2+才行。
在“软件商店”搜索 “Fail2ban”,点击后面安装即可。
弹出的提示框,点击“确定”
然后等待后台安装。
Fail2ban插件设置
安装好后,我们来设置Fail2ban,也很简单。
打开设置后,左侧有4个选项:站点保护、服务保护、IP白名单、服务状态
1.站点保护
站点保护有:防CC和防扫描。
注意,选择你需要保护的网站域名。
安装这个步骤:站点保护 -> 创建 -> 保护模式。保护模式有简单防CC 和 防止站点扫描。
1.1防CC
我们先来看看防CC。在“保护模式” 选择 “简单防CC”,上面一切保持默认值即可,你也可以根据自己的情况进行调整。然后点击确认。
默认值的意思是:如果你在5分钟内刷新超过30次,你的IP 就被ban了,网站无法打开了。禁止10分钟。过了这个禁止时间,你才能再次访问网站。
我们看看设置里面的日志记录
这个被ban了的IP正是我的测试IP地址。如果是误操作,我们可以点击IP地址后面的 “Del”,删除这个被ban的IP。
1.2防扫描
当我们把“保护模式” 选择 “防止站点扫描” 时
检查到站点日志文件在设置周期内(300秒)有超过最大重试次数(30次)的IP访问保护的目录或文件,将禁止该IP访问600秒(默认禁止时间)。
对于那些扫描我们网站指定目录的IP,我们也将它ban掉。
2.服务保护
服务保护,主要是为了保护对应服务的端口。最常见的就是扫描爆破22端口,所以我们就以sshd为例(SSH默认22端口)。记住,如果你修改了SSH的端口,请记得在端口这里填写对应的端口。
如果修改了SSH远程登录端口,但是不记得了,也不要紧,到这里查看:宝塔面板左侧导航安全,就可以看到SSH对应的端口
对于SSHD服务,我们还是选择默认值,这里同样是可以根据自己的需求修改的。
设置好了,这样就可以有效的保护我们的22端口不被扫描爆破。
3.IP白名单
这里的白名单可以是单个IP地址,也可以设置IP地址段。
如果熟悉设置宝塔安全防火墙里面的IP地址,这里的设置也同样简单。当然你可以把你自己的IP地址添加到白名单里面。
你看,宝塔这个插件还是很贴心的,已经把服务器的IP地址放到IP白名单里面了。这样的操作让人省心不少!
总结
简单!!!安全!!!安心!!!
大大简化了服务器运维的成本,自己手动编译安装过fail2ban的站长一定觉得这个插件真的很贴心!而且有可视化的操作面板,再也不需要通过命令来查看结果了,让我这样的小白站长感觉更有安全感!
