- 追加された行はこの色です。
- 削除された行はこの色です。
-セキュリティ対策の一環で導入。
*インストール [#dccfda40]
EPELリポジトリから導入可能
*設定ファイル [#c8249a93]
たくさんあってややこしい
**/etc/fail2ban/fail2ban.conf 全体の設定ファイル [#f875f3c8]
fail2ban全体の設定ファイル。動作ログの出力先などを変更すべし。
**/etc/fail2ban/jail.conf 適用すべきフィルターをまとめたファイル [#le377db7]
-sshdのログを見て攻撃をシャットアウトするには以下の記述を追加する。fileterの定義は/etc/fail2ban/filter.d/sshd.confにあるが、カスタマイズ不要。
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, [email protected], [email protected], sendername="Fail2Ban"]
logpath = /var/log/secure
bantime = 3600
maxretry = 3
なお基本的にはjail.confはデフォルトとしてそのまま変更せず、同じフォルダにjail.localを作成すべき。conf→localの順番で読み込んで設定を追記またはオーバーライドできる。
**/etc/fail2ban/filter.d/*.conf 各フィルターの動作 [#nd3e9b7c]
主要なサービスの定義はすでにある。
*注意点 [#e3b15902]
ログに出力したものを解析するので、sshで22番ポートをふさいでいたりした場合は検知できない。また禁止期間中にアクセスしても回数にはカウントされないし、禁止期間が延びるわけではない(最初の禁止から設定時間後にクリア)