Fail2ban

提供: fukudat.net
ナビゲーションに移動検索に移動

ログを監視して、不正アクセスの兆候があるIPアドレスを、一定期間遮断する daemon。

Install

$ sudo apt-get install fail2ban

設定

/etc/fail2ban/jail.conf を作って、以下のように変更。

[recidive]
enabled = true

これは繰り返しアタックしてくる相手を長期間 ban する設定を on にする。

個別の判定は、/etc/fail2ban/fileter.d にフィルターが定義されているので、それを活用。なければ作る必要がある。

Postfix

/etc/fail2ban/jail.d/postfix_iptables.conf

enabled = true
filter = postfix
action = iptables-multiport[name=postfix, port="smtp,465,submission,imap3,imaps,pop3,pop3s", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 5
findtime = 3600
bantime = 3600

sshd

/etc/fail2ban/jail.d/sshd_iptables.conf

[sshd_iptables]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=XXXXX, protocol=tcp]
port     = XXXXX
logpath  = /var/log/auth.log
maxretry = 5
findtime = 3600
bantime  = 3600

参考文献