Ubuntu に Fail2ban をインストールして、不正アクセスを試みるホストを遮断する。

• Ubuntu 14.04.1 LTS 64bit

パッケージをインストール。

$ sudo apt-get install fail2ban 

Fail2ban の設定を行うため、fail.conf をコピーして編集する。

$ cd /etc/fail2ban
$ sudo cp jail.conf jail.local

$ sudo vi jail.local

遮断対象から除外する IP アドレス

ignoreip = 127.0.0.1/8

遮断する秒数を設定。3時間に変更。

# bantime  = 600
bantime  = 10800

遮断する条件を設定。10分以内に5回認証に失敗したら遮断する。

findtime = 600
# maxretry = 3
maxretry = 5

メールでの通史を行うことができるが、別途 MTA が必要になる。

通知先のメールアドレスを設定。

# destemail = root@localhost
destemail = user@hogepiyo.com

action の設定値を変更する。

# action = %(action_)s 
action = %(action_mw)s 

SSH はデフォルトで検知対象に入っている。Apache を検知対象に含めたい場合は以下のように変更。

[apache]

# enabled  = false
enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 6

Fail2ban を再起動して、設定を適用する。

$ sudo service fail2ban restart

iptable の設定を確認することで、遮断されたホストを調べることができる。

$ sudo iptables -L

Community Help Wiki