Ubuntu に Fail2ban をインストールして、不正アクセスを試みるホストを遮断する。
パッケージ名 | バージョン | インストールするバージョン |
---|---|---|
fail2ban | none | 0.8.11-1 |
パッケージをインストール。
$ sudo apt-get install fail2ban
Fail2ban の設定を行うため、fail.conf をコピーして編集する。
$ cd /etc/fail2ban $ sudo cp jail.conf jail.local
$ sudo vi jail.local
遮断対象から除外する IP アドレス
ignoreip = 127.0.0.1/8
遮断する秒数を設定。3時間に変更。
# bantime = 600 bantime = 10800
遮断する条件を設定。10分以内に5回認証に失敗したら遮断する。
findtime = 600 # maxretry = 3 maxretry = 5
メールでの通史を行うことができるが、別途 MTA が必要になる。
通知先のメールアドレスを設定。
# destemail = root@localhost destemail = user@hogepiyo.com
action の設定値を変更する。
# action = %(action_)s action = %(action_mw)s
SSH はデフォルトで検知対象に入っている。Apache を検知対象に含めたい場合は以下のように変更。
[apache] # enabled = false enabled = true port = http,https filter = apache-auth logpath = /var/log/apache*/*error.log maxretry = 6
Fail2ban を再起動して、設定を適用する。
$ sudo service fail2ban restart
iptable の設定を確認することで、遮断されたホストを調べることができる。
$ sudo iptables -L