Fail2Ban 为特定应用定制防护需新建独立 Jail:先确认日志路径与读权限,再编写专用 filter 文件定义匹配规则,接着在 jail.local 中配置启用参数,最后重启服务并验证状态与封禁效果。
Fail2Ban 监控特定应用程序日志,核心在于为它“量身定制”一个 Jail —— 不是改默认配置,而是新建一个独立、职责明确的防护单元,精准对应你的应用行为。
Fail2Ban 必须能稳定读取日志文件,否则整个监控链就断了。先确认两点:
grep error_log $(which nginx -T 2>/dev/null) 或直接查应用文档(如宝塔在 /www/wwwlogs/xxx.error.log)ls -l /path/to/your/app.log,确保 fail2ban 进程用户(通常是 root 或 fail2ban 用户)有读权限;若无,执行 sudo chmod 644 /path/to/app.log 或调整属组Filter 是识别“谁干坏事”的规则手册。在 /etc/fail2ban/filter.d/ 下新建文件,比如 myapp-login.conf:
[Definition]failregex = ^.*Login failed for user '.*', remote IP: <HOST>$ignoreregex =
关键点:
<HOST> 必须准确匹配日志中的 IP 字段位置,不能写错或遗漏fail2ban-regex /var/log/myapp/auth.log /etc/fail2ban/filter.d/myapp-login.conf 实时验证正则是否真能抓到目标行Login failed 的行,不匹配成功登录或调试信息所有自定义配置都写进 /etc/fail2ban/jail.local(绝不改 jail.conf):
[myapp-login]enabled = truefilter = myapp-loginlogpath = /var/log/myapp/auth.logport = http,httpsaction = iptables-multiport[name=myapp-login, port="http,https", protocol=tcp]bantime = 1800findtime = 600maxretry = 3
说明:
port 指明封禁作用范围(仅限 HTTP/HTTPS 流量),不影响 SSH 或数据库端口action 明确调用 iptables-multiport,避免误触发全局封禁动作bantime 和 findtime 要匹配业务特征:登录失败 10 分钟内试 3 次就封半小时,比默认更贴合 Web 应用场景保存配置后重启服务,并立即检查是否加载成功:
sudo systemctl restart fail2banfail2ban-client status myapp-login 看状态是否 active、failed 计数是否归零fail2ban-client status myapp-login,观察 Currently banned 是否出现 IP