Dan Nanni 发布的文章

Linux有问必答：如何在命令行下压缩JPEG图像

Dan Nanni 发布于 2015-05-13
另请参阅: 桌面应用,图片, jpegoptim
1 条评论

问题: 我有许多数码照相机拍出来的照片。我想在上传到Dropbox之前，优化和压缩下JPEG图片。有没有什么简单的方法压缩JPEG图片并不损耗他们的质量？

如今拍照设备（如智能手机、数码相机）拍出来的图片分辨率越来越大。甚至3630万像素的Nikon D800已经冲入市场，并且这个趋势根本停不下来。如今的拍照设备不断地提高着照片分辨率，使得我们不得不压缩后，再上传到有储存限制、带宽限制的云。

事实上，这里有一个非常简单的方法压缩JPEG图像。一个叫“jpegoptim”命令行工具可以帮助你“无损”美化JPEG图像，让你可以压缩JPEG图片而不至于牺牲他们的质量。万一你的存储空间和带宽预算真的很少，jpegoptim也支持“有损”压缩来调整图像大小。

如果要压缩PNG图像，参考这个指南的例子。

安装jpegoptim

Ubuntu, Debian 或 Linux Mint:

$ sudo apt-get install jpegoptim

Fedora:

$ sudo yum install jpegoptim

CentOS/RHEL安装，先开启EPEL库，然后运行下列命令：

$ sudo yum install jpegoptim

无损压缩jpeg图像

为了无损地压缩一副JPG图片，使用：

$ jpegoptim photo.jpg 
photo.jpg 2048x1536 24bit N ICC JFIF  [OK] 882178 --> 821064 bytes (6.93%), optimized.

注意，原始图像会被压缩后图像覆盖。

如果jpegoptim不能无损美化图像，将不会覆盖它：

$ jpegoptim -v photo.jpg 
photo.jpg 2048x1536 24bit N ICC JFIF  [OK] 821064 --> 821064 bytes (0.00%), skipped.

如果你想保护原始图片，使用"-d"参数指明保存目录

$ jpegoptim -d ./compressed photo.jpg

这样，压缩的图片将会保存在./compressed目录（以同样的输入文件名）

如果你想要保护文件的创建修改时间，使用"-p"参数。这样压缩后的图片会得到与原始图片相同的日期时间。

$ jpegoptim -d ./compressed -p photo.jpg

如果你只是想看看无损压缩率而不是真的想压缩它们，使用"-n"参数来模拟压缩，然后它会显示出压缩率。

$ jpegoptim -n photo.jpg

有损压缩JPG图像

万一你真的需要要保存在云空间上，你还可以使用有损压缩JPG图片。

这种情况下，使用"-m<质量>"选项，质量数范围0到100。（0是最好质量，100是最差质量）

例如，用50%质量压缩图片:

$ jpegoptim -m50 photo.jpg 
photo.jpg 2048x1536 24bit N ICC JFIF  [OK] 882178 --> 301780 bytes (65.79%), optimized.

在牺牲质量的基础上，将会得到一个更小的图片。

一次压缩多张JPEG图像

最常见的情况是需要压缩一个目录下的多张JPEG图像文件。为了应付这种情况，你可以使用接下来的脚本。

#!/bin/sh

# 压缩当前目录下所有*.jpg文件
# 保存在./compressed目录
# 并拥有与原始文件同样的修改日期
for i in *.jpg; do jpegoptim -d ./compressed -p "$i"; done

via: http://ask.xmodulo.com/compress-jpeg-images-command-line-linux.html

作者：Dan Nanni 译者：VicYu/Vic020 校对：wxy

本文由 LCTT 原创翻译，Linux中国荣誉推出

Linux有问必答：如何在Linux下禁用IPv6

Dan Nanni 发布于 2015-05-10
另请参阅: 系统运维,IPv6
3 条评论

问题：我发现我的一个应用程序在尝试通过IPv6建立连接，但是由于我们本地网络不允许分配IPv6的流量，IPv6连接会超时，应用程序的连接会回退到IPv4，这样就会造成不必要的延迟。由于我目前对IPv6没有任何需求，所以我想在我的Linux主机上禁用IPv6。有什么比较合适的方法呢？

IPv6被认为是IPv4——互联网上的传统32位地址空间——的替代产品，它用来解决现有IPv4地址空间即将耗尽的问题。然而，由于已经有大量主机、设备用IPv4连接到了互联网上，所以想在一夜之间将它们全部切换到IPv6几乎是不可能的。许多IPv4到IPv6的转换机制(例如：双协议栈、网络隧道、代理) 已经被提出来用来促进IPv6能被采用，并且很多应用也正在进行重写，如我们所提倡的，来增加对IPv6的支持。有一件事情可以确定，就是在可预见的未来里IPv4和IPv6势必将共存。

理想情况下，向IPv6过渡的进程不应该被最终的用户所看见，但是IPv4/IPv6混合环境有时会让你碰到各种源于IPv4和IPv6之间不经意间的相互碰撞的问题。举个例子，你会碰到应用程序超时的问题，比如apt-get或ssh尝试通过IPv6连接失败、DNS服务器意外清空了IPv6的AAAA记录、或者你支持IPv6的设备不兼容你的互联网服务提供商遗留下的IPv4网络，等等等等。

当然这不意味着你应该盲目地在你的Linux机器上禁用IPv6。鉴于IPv6许诺的种种好处，作为社会的一份子我们最终还是要充分拥抱它的，但是作为给最终用户进行故障排除过程的一部分，如果IPv6确实是罪魁祸首，那你可以尝试去关闭它。

这里有一些让你在Linux中部分(例如：对于某个特定的网络接口)或全部禁用IPv6的小技巧。这些小贴士应该适用于所有主流的Linux发行版包括Ubuntu、Debian、Linux Mint、CentOS、Fedora、RHEL以及Arch Linux。

查看IPv6在Linux中是否被启用

所有现代Linux发行版默认都自动启用IPv6。为了能看到IPv6在你的Linux中是否被激活，可以使用ifconfig或ip命令。如果你在输入这些命令之后看到"inet6"字样的输出，那就意味着你的Linux系统启用了IPv6。

$ ifconfig

$ ip addr

临时禁用IPv6

如果你想要在你的Linux系统上临时关闭IPv6，你可以用 /proc 文件系统。"临时"的意思是我们所做的禁用IPv6的更改在系统重启后将不被保存。IPv6会在你的Linux机器重启后再次被启用。

要将一个特定的网络接口禁用IPv6，使用以下命令：

$ sudo sh -c 'echo 1 > /proc/sys/net/ipv6/conf/<interface-name>/disable_ipv6'

举个例子，将eth0接口禁用IPv6：

$ sudo sh -c 'echo 1 > /proc/sys/net/ipv6/conf/eth0/disable_ipv6'

重新启用eth0接口的IPv6：

$ sudo sh -c 'echo 0 > /proc/sys/net/ipv6/conf/eth0/disable_ipv6'

如果你想要将整个系统所有接口包括回环接口禁用IPv6，使用以下命令：

$ sudo sh -c 'echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6'

永久禁用IPv6

以上方法是不能永久禁用IPv6的，你一旦重启系统IPv6还是会被启用。如果你想要永久关闭它，有几个方法你可以试试。

方法一

第一种方法是通过 /etc/sysctl.conf 文件对 /proc 进行永久修改。

换句话说，就是用文本编辑器打开 /etc/sysctl.conf 然后添加以下内容：

# 禁用整个系统所有接口的IPv6
net.ipv6.conf.all.disable_ipv6 = 1

# 禁用某一个指定接口的IPv6(例如：eth0, lo)
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.eth0.disable_ipv6 = 1

在 /etc/sysctl.conf 使这些更改生效，运行以下命令：

$ sudo sysctl -p /etc/sysctl.conf

或者直接重启。

方法二

另一个永久禁用IPv6的方法是在开机的时候传递一个必要的内核参数。

用文本编辑器打开 /etc/default/grub 并给GRUBCMDLINELINUX变量添加"ipv6.disable=1"。

$ sudo vi /etc/default/grub

GRUB_CMDLINE_LINUX="xxxxx ipv6.disable=1"

上面的"xxxxx"代表任何已有的内核参数，在它后面添加"ipv6.disable=1"。

最后，不要忘记用以下方法保存对GRUB/GRUB2的修改：

Debian、Ubuntu或Linux Mint系统：

$ sudo update-grub

Fedora、CentOS/RHEL系统：

$ sudo grub2-mkconfig -o /boot/grub2/grub.cfg

现在只要你重启你的Linux系统，IPv6就会完全被禁用。

禁用IPv6之后的其它可选步骤

这里有一些在你禁用IPv6后需要考虑的可选步骤，这是因为当你在内核里禁用IPv6后，其它程序也许仍然会尝试使用IPv6。在大多数情况下，应用程序的这种行为不太会影响到什么，但是出于效率或安全方面的原因，你可以为他们禁用IPv6。

/etc/hosts

根据你的设置， /etc/hosts 会包含一条或多条IPv6的hosts和它们的地址。用文本编辑器打开 /etc/hosts 并注释掉包含IPv6 hosts的脚本行。

$ sudo vi /etc/hosts

# comment these IPv6 hosts
# ::1     ip6-localhost ip6-loopback
# fe00::0 ip6-localnet
# ff00::0 ip6-mcastprefix
# ff02::1 ip6-allnodes
# ff02::2 ip6-allrouters

Network Manager

如果你在用NetworkManager来管理你的网络设置，你可以在NetworkManager里禁用IPv6。在NetworkManager打开wired connection，点击"IPv6 Settings"选项并在"Method"一栏选择"Ignore"，保存退出。

SSH服务

默认情况下，OpenSSH服务(sshd)会去尝试捆绑IPv4和IPv6的地址。

要强制sshd只捆绑IPv4地址，用文本编辑器打开 /etc/ssh/sshd\_config 并添加以下行。inet只适用于IPv4，而inet6是适用于IPv6的。

$ sudo vi /etc/ssh/sshd_config

AddressFamily inet

然后重启sshd服务。

via: http://ask.xmodulo.com/disable-ipv6-linux.html

作者：Dan Nanni 译者：ZTinoZ 校对：wxy

本文由 LCTT 原创翻译，Linux中国荣誉推出

Linux 有问必答：如何在Linux中修复“fatal error

Dan Nanni 发布于 2015-04-26
另请参阅: 技术,lame
4 条评论

提问: 我尝试着在Linux中编译视频编码器，但是编译提示出错：“fatal error: lame/lame.h: No such file or directory”，我该如何修复这个错误？

下面的编译错误说明你的系统没有安装LAME库和它的开发文件。

fatal error: lame/lame.h: No such file or directory

LAME（"LAME Ain't an MP3 Encoder"）是一个流行的LPGL授权的MP3编码器。许多视频编码工具使用或者支持LAME，如 FFmpeg、 VLC、 Audacity、 K3b、 RipperX等。

要修复这个编译错误，你需要安装LAME库和开发文件，按照下面的来。

在Debian、Ubuntu或者Linux Mint上安装LAME库和安装文件

Debian和它的衍生版在基础库中已经提供了LAME库，因此可以用apt-get直接安装。

$ sudo apt-get install libmp3lame-dev

在Fedora、CentOS/RHEL上安装LAME库和安装文件

在基于RED HAT的版本中，LAME在RPM Fusion的免费仓库中就有，那么你需要先设置RPM Fusion (免费)仓库。

RPM Fusion设置完成后，如下安装LAME开发包。

$ sudo yum --enablerepo=rpmfusion-free-updates install lame-devel

在2015年1月，RPM Fusion仓库已经不可以在CentOS/RHEL 7中可用了。因此，这个方法不能用在CentOS/RHEL 7 中。这时你就要从源码安装LAME库了（下面会描述）。

在Debian、Ubuntu或者Linux Mint中从源码编译LAME库

如果你希望用不同的编译选项安装自定义的LAME库，你需要自己编译。下面是怎样在基于Debian的系统中编译和安装LAME库（和它的头文件）。

$ sudo apt-get install gcc git
$ wget http://downloads.sourceforge.net/project/lame/lame/3.99/lame-3.99.5.tar.gz
$ tar -xzf lame-3.99.5.tar.gz
$ cd lame-3.99.5
$ ./configure --enable-static --enable-shared
$ make
$ sudo make install

注意当你运行上面的配置步骤时，你可以根据你的需求启用会禁止不同的选项。运行下面的命令查看不同的编译选项。

$ ./configure --help

共享/静态的LAME库默认安装在 /usr/local/lib。要让共享库可以被其他程序使用，完成最后一步：

用编辑器打开 /etc/ld.so.conf，加入下面这行。

/usr/local/lib

接着运行下面的命令，这会将/usr/local/lib中的共享库添加到动态加载缓存中，因此LAME库就可以被其他程序调用了。

$ sudo ldconfig

在Fedora或者CentOS/RHEL中从源码编译LAME库

如果你的发行版（比如 CentOS 7）没有提供预编译的LAME库，或者你想要自定义LAME库，你需要从源码自己编译。下面是在基于Red Hat的系统中编译安装LAME库的方法。

$ sudo yum install gcc git
$ wget http://downloads.sourceforge.net/project/lame/lame/3.99/lame-3.99.5.tar.gz
$ tar -xzf lame-3.99.5.tar.gz
$ cd lame-3.99.5
$ ./configure --enable-static --enable-shared
$ make
$ sudo make install

运行make之前，你可以在configure中带上合适的选项自定义编译选项。你可以用下面的命令检查可用的选项：

$ ./configure --help

最后你需要完成最后一步，因为安装在/usr/local/lib的LAME共享库可能在其他程序中不可用。

在/etc/ld.so.conf中添加下面这行：

/usr/local/lib

接着运行下面的命令。这会添加 /usr/local/lib中的共享库(包括LAME)到动态加载缓存中，让其他程序可以访问到。

$ sudo ldconfig

via: http://ask.xmodulo.com/fatal-error-lame-no-such-file-or-directory.html

作者：Dan Nanni 译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国荣誉推出

Linux有问必答：Perl中本地时间和UNIX时间戳间相互转换

Dan Nanni 发布于 2015-04-08
另请参阅: 软件开发,Perl, 时间转换
评论

问题: 在Perl语言中，我需要转换易读的日期和时间到对应的UNIX时间戳，反之亦然。你可以给我一些将日期及时间转换到UNIX时间戳的Perl代码例子吗？或者相反，转换UNIX时间戳到可读的日期和时间。

当你的Perl脚本需要解决时间信息，这里有两种方法来表示和处理日期和时间。一种方法是易读的时间表示（例，"Sat Mar 14 10:14:05 EDT 2015"），另外一种是使用UNIX时间戳（也叫“新纪元时间”），这是从1970年1月1日到今所经过的时间秒数。每一种方法都有它自己的优劣势，取决于你的需要，也许也就需要转换一种格式到另一种。

Perl中转换本地时间到UNIX时间戳

为了从日期字符串中获得UNIX时间，可以使用Date::Parse模块中str2time()函数。此函数可以处理多种格式，例如：

Sat Mar 14 10:14:05 EDT 2015
3/14/2015 10:14:05 -0400
14/Mar/15 10:14:05
14 Mar 15 10:14:05

use Date::Parse;

my $local_time = "Sat Mar 14 10:14:05 EDT 2015";

# 1426342445 will be stored in $unix_time
my $unix_time = str2time($local_time);

Date:Parse 模块支持多种语言（英语，法语，德语和意大利语）和时区。例如:

use Date::Parse;
use Date::Language;

my $lang = Date::Language->new('French');
my $unix_time = $lang->str2time("12:14:05, Ago 16, 2014 (CEST)");

Perl中UNIX时间戳到易读的日期和时间

如果你想要转换UNIX时间戳到易读的格式，可以使用localtime()函数，此函数可以转换UNIX时间戳为一个9元素列表。然后你可以使用返回的list构造任何你需要的可读格式。这里有一个代码片段：

# $sec, $min, $hour: 秒,分,时
# $mday: 月中的某天 (0-31)
# $mon: 月份，范围 0 (一月) 至 11 (十二月)
# $year: 年份，与1900年的差值(2015年为2015-1900=115)
# $wday: 星期，范围 0 (星期天) 至 6 (星期六)
# $yday: 年中的某天，范围 0 至 364 (或 365 闰年)
# $isdst: 是否是夏令时

my ($sec, $min, $hour, $mday, $mon, $year, $wday, $yday, $isdst) = localtime($unix_timestamp);

# necessary conversion of $mon and $year
$mon += 1;
$year += 1900;

print "Current time: $year-$mon-$mday $hour:$min:$sec\n";

via: http://ask.xmodulo.com/convert-local-time-unix-timestamp-perl.html

作者：Dan Nanni 译者：VicYu/Vic020 校对：wxy

本文由 LCTT 原创翻译，Linux中国荣誉推出

怎样在 Linux 中限制网络带宽使用

Dan Nanni 发布于 2015-03-27
另请参阅: 技术,Trickle, 带宽, wondershaper
15 条评论

假如你经常在 Linux 桌面上运行多个网络应用，或在家中让多台电脑共享带宽；那么你可能想更好地控制带宽的使用。否则，当你使用下载器下载一个大文件时，交互式 SSH 会话可能会变得缓慢以至不可用；或者当你通过 Dropbox 来同步一个大文件夹时，你的室友可能会抱怨在她的电脑上，视频流变得断断续续。

在本教程中，我将为你描述两种在 Linux 中限制网络流量速率的不同方法。

在 Linux 中限制一个应用的速率

限制网络流量速率的一种方法是通过一个名为trickle的命令行工具。通过在程序运行时，预先加载一个速率限制 socket 库的方法，trickle 命令允许你改变任意一个特定程序的流量。 trickle 命令有一个很好的特性是它仅在用户空间中运行，这意味着，你不必需要 root 权限就可以限制一个程序的带宽使用。要能使用 trickle 程序控制程序的带宽，这个程序就必须使用非静态链接库的套接字接口。当你想对一个不具有内置带宽控制功能的程序进行速率限制时，trickle 可以帮得上忙。

在 Ubuntu，Debian 及其衍生发行版中安装 trickle ：

$ sudo apt-get install trickle

在 Fdora 或 CentOS/RHEL (带有 EPEL 软件仓库)：

$ sudo yum install trickle

trickle 的基本使用方法如下。仅需简单地把 trickle 命令（及速率参数）放在你想运行的命令之前。

$ trickle -d <download-rate> -u <upload-rate>  <command>

这就可以将 <command> 的下载和上传速率限定为特定值（单位 KBytes/s）。

例如，将你的 scp 会话的最大上传带宽设定为 100 KB/s：

 $ trickle -u 100 scp backup.tgz alice@remote_host.com:

如若你想，你可以通过创建一个自定义启动器的方式，使用下面的命令为你的 Firefox 浏览器设定最大下载速率（例如， 300 KB/s）。

trickle -d 300 firefox %u

最后， trickle 也可以以守护进程模式运行，在该模式下，它将会限制所有通过 trickle 启动且正在运行的程序的总带宽之和。启动 trickle 使其作为一个守护进程（例如， trickled）：

$ sudo trickled -d 1000

一旦 trickled 守护进程在后台运行，你便可以通过 trickle 命令来启动其他程序。假如你通过 trickle 启动一个程序，那么这个程序的最大下载速率将是 1000 KB/s，假如你再通过 trickle 启动了另一个程序，则每个程序的(下载)速率极限将会被限制为 500 KB/s，等等。

在 Linux 中限制一个网络接口的速率

另一种控制你的带宽资源的方式是在每一个接口上限制带宽。这在你与其他人分享你的网络连接的上行带宽时尤为实用。同其他一样，Linux 有一个工具来为你做这件事。wondershaper就是干这个的。

wondershaper 实际上是一个 shell 脚本，它使用 tc 来定义流量调整命令，使用 QoS 来处理特定的网络接口。外发流量通过放在不同优先级的队列中，达到限制传出流量速率的目的；而传入流量通过丢包的方式来达到速率限制的目的。

事实上， wondershaper 的既定目标不仅仅是对一个接口增加其带宽上限；当批量下载或上传正在进行时，wondershaper 还试图去保持互动性会话如 SSH 的低延迟。同样的，它还会控制批量上传(例如， Dropbox 的同步)不会使得下载“窒息”，反之亦然。

在 Ubuntu Debian 及其衍生发行版中安装 wondershaper：

$ sudo apt-get install wondershaper

在 Fdora 或 CentOS/RHEL (带有 EPEL 软件仓库) 中安装 wondershaper：

$ sudo yum install wondershaper

wondershaper 的基本使用如下：

 $ sudo wondershaper <interface> <download-rate> <upload-rate>

举个例子，将 eth0 的最大下载/上传带宽分别设定为 1000Kbit/s 和 500Kbit/s:

$ sudo wondershaper eth0 1000 500

你也可以通过运行下面的命令将速率限制进行消除：

$ sudo wondershaper clear eth0

假如你对 wondershaper 的运行原理感兴趣，你可以阅读其 shell 脚本源文件(/sbin/wondershaper)。

总结

在本教程中，我介绍了两种不同的方法，来达到如何在 Linux 桌面环境中，控制每个应用或每个接口的带宽使用的目的。这些工具的使用都很简单，都为用户提供了一个快速且容易的方式来调整或限制流量。对于那些想更多地了解如何在 Linux 中进行速率控制的读者，请参考 the Linux bible.

via: http://xmodulo.com/limit-network-bandwidth-linux.html

作者：Dan Nanni 译者：FSSlc 校对：wxy

本文由 LCTT 原创翻译，Linux中国荣誉推出

如何配置 fail2ban 来保护 Apache 服务器

Dan Nanni 发布于 2015-03-18
另请参阅: 系统运维,Apache, fail2ban
4 条评论

生产环境中的 Apache 服务器可能会受到不同的攻击。攻击者或许试图通过暴力攻击或者执行恶意脚本来获取未经授权或者禁止访问的目录。一些恶意爬虫或许会扫描你网站下的各种安全漏洞，或者通过收集email地址和web表单来发送垃圾邮件。

Apache服务器具有全面的日志功能，可以捕捉到各种攻击所反映的异常事件。然而，它还不能系统地解析具体的apache 日志并迅速地对潜在的攻击进行反应（比如，禁止/解禁IP地址）。这时候fail2ban可以解救这一切，解放了系统管理员的工作。

fail2ban是一款入侵防御工具，可以基于系统日志检测不同的工具并且可以自动采取保护措施比如：通过iptables禁止ip、通过 /etc/hosts.deny 阻止连接、或者通过邮件发送通知。fail2ban具有一系列预定义的“监狱”，它使用特定程序日志过滤器来检测通常的攻击。你也可以编写自定义的规则来检测来自任意程序的攻击。

在本教程中，我会演示如何配置fail2ban来保护你的apache服务器。我假设你已经安装了apache和fail2ban。对于安装，请参考另外一篇教程。

什么是 Fail2ban 监狱

让我们更深入地了解 fail2ban 监狱。监狱定义了具体的应用策略，它会为指定的程序触发一个保护措施。fail2ban在 /etc/fail2ban/jail.conf 下为一些流行程序如Apache、Dovecot、Lighttpd、MySQL、Postfix、SSH 等预定义了一些监狱。每个监狱都通过特定的程序日志过滤器（在/etc/fail2ban/fileter.d 下面）来检测通常的攻击。让我看一个例子监狱：SSH监狱。

[ssh]
enabled   = true
port      = ssh
filter    = sshd
logpath   = /var/log/auth.log
maxretry  = 6
banaction = iptables-multiport

SSH监狱的配置定义了这些参数：

[ssh]：方括号内是监狱的名字。
enabled：是否启用监狱
port：端口号(或者对应的服务名称)
filter：检测攻击的日志解析规则
logpath：所检测的日志文件
maxretry：最大失败次数
banaction：所进行的禁止操作

定义在监狱配置中的任意参数都会覆盖fail2ban-wide 中相应的默认配置参数。相反，任何缺少的参数都会使用定义在[DEFAULT] 字段的默认值。

预定义的日志过滤器都放在/etc/fail2ban/filter.d，而可以采取的禁止操作放在 /etc/fail2ban/action.d。

如果你想要覆盖fail2ban的默认操作或者定义任何自定义监狱，你可以创建/etc/fail2ban/jail.local*文件。本篇教程中，我会使用/etc/fail2ban/jail.local。

启用预定义的apache监狱

fail2ban的默认安装为Apache服务提供了一些预定义监狱和过滤器。我要启用这些内建的Apache监狱。由于Debian和RedHat配置的稍微不同，我会分别提供它们的配置文件。

在Debian 或者 Ubuntu启用Apache监狱

要在基于Debian的系统上启用预定义的apache监狱，如下创建/etc/fail2ban/jail.local。

$ sudo vi /etc/fail2ban/jail.local

# 检测密码认证失败
[apache]
enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 6

# 检测漏洞和 PHP 脆弱性扫描 
[apache-noscript]
enabled  = true
port     = http,https
filter   = apache-noscript
logpath  = /var/log/apache*/*error.log
maxretry = 6

# 检测 Apache 溢出攻击 
[apache-overflows]
enabled  = true
port     = http,https
filter   = apache-overflows
logpath  = /var/log/apache*/*error.log
maxretry = 2

# 检测在服务器寻找主目录的尝试
[apache-nohome]
enabled  = true
port     = http,https
filter   = apache-nohome
logpath  = /var/log/apache*/*error.log
maxretry = 2

由于上面的监狱没有指定措施，这些监狱都将会触发默认的措施。要查看默认的措施，在/etc/fail2ban/jail.conf中的[DEFAULT]下找到“banaction”。

banaction = iptables-multiport

本例中，默认的操作是iptables-multiport（定义在/etc/fail2ban/action.d/iptables-multiport.conf）。这个措施使用iptable的多端口模块禁止一个IP地址。

在启用监狱后，你必须重启fail2ban来加载监狱。

$ sudo service fail2ban restart

在CentOS/RHEL 或者 Fedora中启用Apache监狱

要在基于红帽的系统中启用预定义的监狱，如下创建/etc/fail2ban/jail.local。

$ sudo vi /etc/fail2ban/jail.local

# 检测密码认证失败
[apache]
enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/httpd/*error_log
maxretry = 6

# 检测抓取邮件地址的爬虫
[apache-badbots]
enabled  = true
port     = http,https
filter   = apache-badbots
logpath  = /var/log/httpd/*access_log
bantime  = 172800
maxretry = 1

# 检测漏洞和 PHP 脆弱性扫描 
[apache-noscript]
enabled  = true
port     = http,https
filter   = apache-noscript
logpath  = /var/log/httpd/*error_log
maxretry = 6

# 检测 Apache 溢出攻击 
[apache-overflows]
enabled  = true
port     = http,https
filter   = apache-overflows
logpath  = /var/log/httpd/*error_log
maxretry = 2

# 检测在服务器寻找主目录的尝试
[apache-nohome]
enabled  = true
port     = http,https
filter   = apache-nohome
logpath  = /var/log/httpd/*error_log
maxretry = 2

# 检测执行不存在的脚本的企图
# 这些都是流行的网站服务程序
# 如：webmail， phpMyAdmin，WordPress
port     = http,https
filter   = apache-botsearch
logpath  = /var/log/httpd/*error_log
maxretry = 2

注意这些监狱文件默认的操作是iptables-multiport（定义在/etc/fail2ban/jail.conf中[DEFAULT]字段下的“banaction”中）。这个措施使用iptable的多端口模块禁止一个IP地址。

启用监狱后，你必须重启fail2ban来加载监狱。

在 Fedora 或者 CentOS/RHEL 7中：

$ sudo systemctl restart fail2ban

在 CentOS/RHEL 6中：

$ sudo service fail2ban restart

检查和管理fail2ban禁止状态

监狱一旦激活后，你可以用fail2ban的客户端命令行工具来监测当前的禁止状态。

查看激活的监狱列表：

$ sudo fail2ban-client status

查看特定监狱的状态（包含禁止的IP列表）：

$ sudo fail2ban-client status [监狱名]

你也可以手动禁止或者解禁IP地址：

要用制定监狱禁止IP：

$ sudo fail2ban-client set [name-of-jail] banip [ip-address]

要解禁指定监狱屏蔽的IP：

$ sudo fail2ban-client set [name-of-jail] unbanip [ip-address]

总结

本篇教程解释了fail2ban监狱如何工作以及如何使用内置的监狱来保护Apache服务器。依赖于你的环境以及要保护的web服务器类型，你或许要调整已有的监狱或者编写自定义监狱和日志过滤器。查看outfail2ban的官方Github页面来获取最新的监狱和过滤器示例。

你有在生产环境中使用fail2ban么？分享一下你的经验吧。

via: http://xmodulo.com/configure-fail2ban-apache-http-server.html

作者：Dan Nanni 译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国荣誉推出