fail2banの使い方
概要
- sshなどを通じて不正アクセスを試みる攻撃者のIPアドレスを自動的にブロックするツール
- どうしてもDMZに置く必要があるサーバーや、SSHのポートを変更している場合などに有効
インストール
$ sudo apt install fail2ban
sshの不正アクセスの確認
$ sudo lastb | head -n 15
fail2banの設定
/etc/fail2ban/jail.local
[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
# 5回試行に失敗したら30日間禁止
maxretry = 5
bantime = 30d
サービスの再起動
$ sudo systemctl restart fail2ban
ログの確認
$ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 5
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 3
|- Total banned: 4
`- Banned IP list: ***.***.***.***