Table of Contents
サーバのログファイルを自動スキャンして、悪意のある 接続を自動遮断するツール
EPELリポジトリの追加
インストール
# dnf install fail2ban
================================================================================
パッケージ Arch バージョン Repo サイズ
================================================================================
インストール:
fail2ban noarch 0.11.2-1.el8 epel 19 k
依存関係のインストール:
fail2ban-firewalld noarch 0.11.2-1.el8 epel 19 k
fail2ban-sendmail noarch 0.11.2-1.el8 epel 22 k
fail2ban-server noarch 0.11.2-1.el8 epel 459 k
設定
# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
# vi /etc/fail2ban/jail.local
-----------------------------------------------------------
[DEFAULT]
#対象外のIPアドレス
ignoreip = 127.0.0.1/8 ::1 192.168.XXX.0/24
#バン期間 604800:一週間
bantime = 604800
#確認期間 86400
findtime = 86400
#上限回数 5:5回
maxretry = 5
#アラートメールの送信先アドレス
destemail = root
#メールの送信元
sender = root
#使用MTA
mta = postfix
#banactionをfirewalldに変更
banaction = firewallcmd-ipset
banaction_allports = firewallcmd-allports
[sshd]
#有効化
enabled = true
[apache-auth]
#有効化
enabled = true
[proftpd]
#有効化
enabled = true
#対象ログファイル指定
logpath = /var/log/proftpd/auth.log
[postfix]
#有効化
enabled = true
[dovecot]
#有効化
enabled = true
[postfix-sasl]
#有効化
enabled = true
-----------------------------------------------------------
起動設定
# systemctl start fail2ban
# systemctl enable fail2ban
Created symlink /etc/systemd/system/multi-user.target.wants/fail2ban.service → /usr/lib/systemd/system/fail2ban.service.
# systemctl status fail2ban.service
● fail2ban.service - Fail2Ban Service
Loaded: loaded (/usr/lib/systemd/system/fail2ban.service; enabled; vendor pr>
Active: active (running) since Tue 2021-01-05 00:04:53 JST; 25s ago
Docs: man:fail2ban(1)
Main PID: 75690 (fail2ban-server)
Tasks: 13 (limit: 100777)
Memory: 25.2M
CGroup: /system.slice/fail2ban.service
└─75690 /usr/bin/python3.6 -s /usr/bin/fail2ban-server -xf start
1月 05 00:04:53 hp.chinaz.org systemd[1]: Starting Fail2Ban Service...
1月 05 00:04:53 hp.chinaz.org systemd[1]: Started Fail2Ban Service.
1月 05 00:04:53 hp.chinaz.org fail2ban-server[75690]: Server ready
コマンド
有効なサービスチェックの一覧
# fail2ban-client status
Status
|- Number of jail: 6
`- Jail list: apache-auth, dovecot, postfix, postfix-sasl, proftpd, sshd
サービスのIP制限の状況表
# fail2ban-client status postfix
Status for the jail: postfix
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- Journal matches: _SYSTEMD_UNIT=postfix.service
`- Actions
|- Currently banned: 5
|- Total banned: 5
`- Banned IP list: 210.134.90.100 210.134.90.17 210.134.90.97 210.134.90.98 210.134.90.99