Fail2Ban在Ubuntu 22.04上处理SSH异常连接的最佳实践

问题背景

在Ubuntu 22.04 LTS系统中，管理员经常会在/var/log/auth.log中观察到大量SSH异常连接记录，例如：

Disconnected from authenticating user root 103.151.173.102 port 22620 [preauth]
Connection closed by authenticating user root 183.81.169.238 port 50142 [preauth]

这些记录表明有潜在的攻击者正在尝试通过多次尝试访问SSH服务。虽然Fail2Ban默认配置可以有效拦截明显的认证失败尝试，但对于某些特殊类型的异常连接，需要特别配置才能正确识别和处理。

技术分析

Fail2Ban的SSH保护机制分为两种工作模式：

1. 标准模式(normal)：仅匹配明确的认证失败日志
2. 激进模式(aggressive)：除认证失败外，还会匹配各种异常连接行为

在Ubuntu 22.04上，Fail2Ban 0.11.2版本默认使用标准模式，这导致以下类型的日志不会被识别为攻击：

• 认证过程中断连接
• 预认证阶段异常断开
• 连接重置等异常行为

解决方案

方法一：启用激进模式（推荐）

修改jail配置文件是最佳实践：

1. 编辑/etc/fail2ban/jail.local文件
2. 在[sshd]部分添加或修改以下配置：

[sshd]
enabled = true
mode = aggressive

3. 重启Fail2Ban服务：

sudo systemctl restart fail2ban

方法二：自定义过滤规则（高级用法）

如需更精细的控制，可以修改过滤规则：

1. 编辑/etc/fail2ban/filter.d/sshd.conf
2. 添加自定义正则表达式匹配特定日志模式
3. 确保在jail配置中正确引用过滤器：

[sshd]
filter = sshd[mode=aggressive]

配置建议

1. 避免全量复制配置：不要将整个jail.conf复制到jail.local，只需覆盖需要修改的参数
2. 参数优先级：了解jail.local会覆盖jail.conf中的设置
3. 测试配置：修改后使用fail2ban-client reload sshd测试配置有效性
4. 日志监控：定期检查/var/log/fail2ban.log确认拦截效果

安全增强建议

1. 结合防火墙规则增强保护
2. 考虑修改SSH默认端口
3. 启用密钥认证替代密码认证
4. 设置合理的最大尝试次数和封禁时间

通过合理配置Fail2Ban的激进模式，可以显著提升Ubuntu服务器对SSH异常访问的防御能力，同时保持系统的稳定性和可维护性。