ログを見て、たくさんパスワード認証に失敗したIPアドレスからの接続を拒否する。
sudo aptitude install fail2ban
RedHatのRPMがあるのでこれをインストール。
rpm -ivh http://fail2ban.sourceforge.net/rpms/fail2ban-0.6.0-1jik.noarch.rpm
installが終わったら
fail2ban -h
で以下のようなヘルプが表示できる。
-b start in background
-d start in debug mode
-c <FILE> read configuration file FILE
-p <FILE> create PID lock in FILE
-h display this help message
-i <IP(s)> IP(s) to ignore
-k kill a currently running instance
-r <VALUE> allow a max of VALUE password failure [maxfailures]
-t <TIME> ban IP for TIME seconds [bantime]
-f <TIME> lifetime in seconds of failed entry [findtime]
-v verbose. Use twice for greater effect
-V print software version
/etc/fail2ban.conf
に設定ファイルができるので編集する。
基本的な値について説明 全体にかかる設定などは[DEFAULT]の中の項目をいじる。
bantime:何秒間banするか。デフォルトは600秒。今回はSSHの認証のチェックを行うので 251行目の[SSH]からの値を編集。といっても特に編集するとこはないかも。
logfile = /var/log/secure
にちゃんとSSHのログがあるかどうか調べるくらいか?
/etc/init.d/fail2ban start
さぁこれでどうなるかなぁ?