Hello World

阻擋暴力破解除了防火牆、OTP、MFA 外，還可以安裝 fail2ban 來阻止暴力破解
安裝方式 
apt install fail2ban

fail2ban 會配合iptables 運作，所以如果沒安裝 iptables 的話請一併安裝
apt install iptables

編輯設定檔
cd /etc/fail2ban
cp jail.conf jail.local

服務啟動時，會先讀 jail.conf，再讀 jail.local，如果同樣一筆設定有衝突的話，後者會把前者設定複寫
所以自訂的設定請寫在 jail.local，其他的就讀  jail.conf 預設值

啟動 fail2ban
systemctl restart fail2ban

預設的 fail2ban 已經把檢查 sshd 的登入開啟了，如果沒有啟用的話
編輯 jail.local，找到 sshd 設定填入 enanle = true
[sshd]
enable = true

如果你想要阻擋的服務是架在 docker container 上的話，有很大的機會阻擋不了
解法: 新增一條 FORWARD chain 的規則

我的作法
cd /etc/fail2ban/action.d
cp iptables-multiport.conf iptables-docker.conf
vi iptables-docker.conf

找到下面這段，新增兩條規則
actionstart = <iptables> -N f2b-<name>
              <iptables> -A f2b-<name> -j <returntype>
              <iptables> -I <chain> -p <protocol> -m multiport --dports <port> -j f2b-<name>
              <iptables> -D FORWARD -p tcp -j  f2b-<name>
              <iptables> -I FORWARD 1 -p tcp -j f2b-<name>

阻擋的 action 就改用這個
action   = iptables-docker[name=mylab, port="http,https", protocol=tcp]