ops/security: more detailed fail2ban intro

Author: taoky

docs/ops/security.md

@@ -676,7 +676,34 @@ Passkey（通行密钥）则是目前最新的「无密码登录」技术，在
 
 对于图形登录方式，Windows 服务器常见的登录方式为 RDP，而 Linux 的 RDP 和 VNC 都是常见的登录方式。由于协议设计复杂性，不建议将 RDP 或 VNC 的端口直接暴露在公网（历史上 RDP 也暴露过大量的漏洞），并且需要确保连接被加密，以防止可能的中间人窃取密码。
 
-同时，为了避免持续的扫描行为带来的影响，可以部署诸如 [fail2ban](https://github.com/fail2ban/fail2ban) 的工具来自动封禁暴力破解的 IP 地址。fail2ban 会监控日志文件，并且在发现 IP 地址在一定时间内多次尝试后会将对应的 IP 应用指定的规则（例如通过 iptables 丢弃包）来实现自动封禁。
+同时，为了避免持续的扫描行为带来的影响，可以部署诸如 [fail2ban](https://github.com/fail2ban/fail2ban) 的工具来自动封禁暴力破解的 IP 地址。
+
+!!! note "fail2ban 简介"
+
+    fail2ban 会监控日志文件，并且在发现 IP 地址在一定时间内多次尝试后会将对应的 IP 应用指定的规则来实现自动封禁。其主要有三个部分：
+
+    - action：在封禁/解封时具体执行的命令，例如使用 iptables/nftables 丢弃对应 IP 的包。
+    - filter：定义了如何从日志文件中提取失败尝试的正则表达式。
+    - jail：定义了监控的日志文件、封禁的次数阈值、时间、使用的 filter 以及 action 等。
+
+    Debian 安装的 fail2ban 默认会启用 sshd 的 jail，其他的 jail 需要用户自行配置。可以使用以下命令查看 jail 的状态：
+
+    ```console
+    $ sudo fail2ban-client status
+    Status
+    |- Number of jail:      1
+    `- Jail list:   sshd
+    $ sudo fail2ban-client status sshd
+    Status for the jail: sshd
+    |- Filter
+    |  |- Currently failed: 0
+    |  |- Total failed:     13
+    |  `- Journal matches:  _SYSTEMD_UNIT=ssh.service + _COMM=sshd
+    `- Actions
+       |- Currently banned: 1
+       |- Total banned:     2
+       `- Banned IP list:   192.168.123.123
+    ```
 
 !!! tip "使用 SSH 转发端口"