UNIX/Soft/fail2ban の履歴(No.6)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• UNIX/Soft/fail2ban へ行く。
  • 1 (2015-08-04 (火) 13:35:05)
  • 2 (2015-08-26 (水) 14:11:47)
  • 3 (2015-08-27 (木) 05:12:28)
  • 4 (2015-09-08 (火) 05:27:26)
  • 5 (2015-09-18 (金) 06:07:35)
  • 6 (2015-09-19 (土) 08:17:29)
  • 7 (2015-10-20 (火) 00:52:22)
  • 8 (2015-10-24 (土) 19:31:28)
  • 9 (2016-01-20 (水) 13:45:28)
  • 10 (2016-01-21 (木) 15:06:01)
  • 11 (2016-04-08 (金) 10:55:46)

• セキュリティ対策の一環で導入。

インストール†

EPELリポジトリから導入可能

設定ファイル†

たくさんあってややこしい

/etc/fail2ban/fail2ban.conf 全体の設定ファイル†

fail2ban全体の設定ファイル。動作ログの出力先などを変更すべし。後述するrecidiveの設定の時にログの出力先をsyslogから変更する必要がある。

logtarget = /var/log/fail2ban.log

/etc/fail2ban/jail.conf 適用すべきフィルターをまとめたファイル†

• sshdのログを見て攻撃をシャットアウトするには以下の記述を追加する。fileterの定義は/etc/fail2ban/filter.d/sshd.confにあるが、sshdに関してはカスタマイズ不要。

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, [email protected],   [email protected], sendername="Fail2Ban"]
logpath  = /var/log/secure
bantime = 3600
maxretry = 3

なお基本的にはjail.confはデフォルトとしてそのまま変更せず、同じフォルダにjail.localを作成すべき。conf→localの順番で読み込んで設定を追記またはオーバーライドできる。

/etc/fail2ban/filter.d/*.conf 各フィルターの動作†

主要なサービスの定義はすでにある。カスタマイズしたものはここに配置して、jail.localから[ファイル名]で適用できる。

Script Kiddy†

https://github.com/miniwark/miniwark-howtos/wiki/Fail2Ban-setup-for-Apache

注意点†

ログに出力したものを解析するので、sshで22番ポートをふさいでいたりした場合は検知できない。また禁止期間中にアクセスしても回数にはカウントされないし、禁止期間が延びるわけではない（最初の禁止から設定時間後にクリア）。厳しくしすぎると解除するのが大変。

解除コマンド†

fail2ban-client set JAIL名 unbanip MYIP