Fail2Banとは
ログファイルをスキャンし、悪意のある攻撃や兆候を元に、攻撃元の IP アドレスを自動で遮断(ban)するソフトウェア
インストール
yum install –enablerepo=epel fail2ban fail2ban-systemd
インストールディレクトリ
/etc/fail2ban/
設定
jail.confを直接編集せず、.localファイルを作成して編集することを推奨しています。
以下コマンドでlocalファイルを作成
vim /etc/fail2ban/jail.local以下の設定で制限を入れてみます。
- アクセス禁止時間:600秒
- 監視時間:10秒
- リトライ回数:1回
[sshd]
enabled = true
bantime = 600
findtime = 10
maxretry = 1再犯
以下設定で再犯したユーザをBAN
[recidive]
enabled = true
bantime = 604800
findtime = 86400
maxretry = 5Fail2Banを有効化
以下のコマンドで有効化する
fail2ban-client startServer ready と出力されれば監視が開始されます
以下のコマンドで、監視状況を確認できます。
fail2ban-client status sshd
早速BANされてる・・・
設定変更後は、以下コマンドで反映すること
systemctl reload fail2ban自動起動
以下コマンドで自動起動するよう設定しておきます。
systemctl enable fail2ban設定後、以下コマンドで起動しておく
systemctl start fail2ban
コメント