Fail2ban即可以用系統自帶的防火墻，如linux的iptables或FreeBSD的ipfw，又可以換用tcpd，此外還可以擴展到其它網絡服務，目前我主要使用在監控22端口，以及/var/log/secure日志，主要是那些非法訪問的日志，當發現某個IP在一個定義的時間段內，嘗試SSH密碼失敗達到一個定義的次數，則利用LINUX的iptables阻止改IP一個定義的時間段，當然，也可以無期限的阻止。

下載地址http://fail2ban.sourceforge.net/，在download中選擇適合自己操作系統的版本下載，我選擇的是REDHAT版本，該系統下軟件沒有部分其它版本高，不過沒關系，已經完全滿足我們的需求。

下載fail2ban-0.6.2-1brn.src.rpm，由于0.6.1版本有時間判斷上的BUG，并且使用源代碼重新編譯可以更加的和實際系統環境配合，達到最好的性能，所以...選擇的這個版本的源代碼包。

rpmbuild --rebuild fail2ban-0.6.2-1brn.src.rpm

從編譯日志可以得知編譯好的RPM在/usr/src/redhat/RPMS/noarch/fail2ban-0.6.2-1brn.noarch.rpm

rpm -Uvh /usr/src/redhat/RPMS/noarch/fail2ban-0.6.2-1brn.noarch.rpm

執行文件已經在 /etc/init.d/fail2ban ，并且作為一個服務可以用service fail2ban {start|stop|status|restart|condrestart}來進行操作

配置文件在/etc/fail2ban.conf

默認配置就是監控SSH端口和日志，所以我未作大的改動，有興趣的兄弟可以嘗試監控其它服務的日志和端口。

我改了一下幾個參數：

“locale = ”改為“locale = en_US”，這個主要是為了時間格式的匹配，反正0.6.1版本有這個BUG并且沒這個參數，導致我安裝后無法使用，安裝0.6.2后正常。

“maxfailures = 3”，這個其實就是最大嘗試次數，在后面定義的時間區間如果超過了這個嘗試次數將阻止IP訪問SSH端口。

“bantime = 3600”，其實就是阻止的時間段，當達到阻止條件的時候，阻止該IP訪問SSH端口3600秒，文檔說如果設為“-1”就是永久阻止，各位可以視自己情況設定。

“findtime = 60”，這個參數就是嘗試的時間段，在這個時間段內判斷前面嘗試次數，達到則阻止其它參數我沒動，等有時間了再研究。

啟動方法很簡單，這里就不說了。