Fail2Ban 自定义 Jail:怎样监控特定应用程序日志

作者:袖梨 2026-07-07
Fail2Ban 为特定应用定制防护需新建独立 Jail:先确认日志路径与读权限,再编写专用 filter 文件定义匹配规则,接着在 jail.local 中配置启用参数,最后重启服务并验证状态与封禁效果。

Fail2Ban 监控特定应用程序日志,核心在于为它“量身定制”一个 Jail —— 不是改默认配置,而是新建一个独立、职责明确的防护单元,精准对应你的应用行为。

明确日志路径与权限

Fail2Ban 必须能稳定读取日志文件,否则整个监控链就断了。先确认两点:

  • 实际日志路径:用 grep error_log $(which nginx -T 2>/dev/null) 或直接查应用文档(如宝塔在 /www/wwwlogs/xxx.error.log
  • 文件可读性:运行 ls -l /path/to/your/app.log,确保 fail2ban 进程用户(通常是 rootfail2ban 用户)有读权限;若无,执行 sudo chmod 644 /path/to/app.log 或调整属组

编写专用 Filter 文件

Filter 是识别“谁干坏事”的规则手册。在 /etc/fail2ban/filter.d/ 下新建文件,比如 myapp-login.conf

[Definition]failregex = ^.*Login failed for user '.*', remote IP: <HOST>$ignoreregex =

关键点:

  • <HOST> 必须准确匹配日志中的 IP 字段位置,不能写错或遗漏
  • fail2ban-regex /var/log/myapp/auth.log /etc/fail2ban/filter.d/myapp-login.conf 实时验证正则是否真能抓到目标行
  • 避免过度匹配:比如只匹配含 Login failed 的行,不匹配成功登录或调试信息

定义独立 Jail 配置

所有自定义配置都写进 /etc/fail2ban/jail.local(绝不改 jail.conf):

[myapp-login]enabled = truefilter = myapp-loginlogpath = /var/log/myapp/auth.logport = http,httpsaction = iptables-multiport[name=myapp-login, port="http,https", protocol=tcp]bantime = 1800findtime = 600maxretry = 3

说明:

  • port 指明封禁作用范围(仅限 HTTP/HTTPS 流量),不影响 SSH 或数据库端口
  • action 明确调用 iptables-multiport,避免误触发全局封禁动作
  • bantimefindtime 要匹配业务特征:登录失败 10 分钟内试 3 次就封半小时,比默认更贴合 Web 应用场景

启用并验证新 Jail

保存配置后重启服务,并立即检查是否加载成功:

  • sudo systemctl restart fail2ban
  • fail2ban-client status myapp-login 看状态是否 active、failed 计数是否归零
  • 手动模拟一次失败登录,再执行 fail2ban-client status myapp-login,观察 Currently banned 是否出现 IP

相关文章

精彩推荐