Recent changes

2013-04-14 2013-04-02 2013-02-17 2013-01-29 2013-01-20 2013-01-18 2012-12-08 2012-11-06 2012-09-04 2012-08-02

Fail2Ban


ログを見て、たくさんパスワード認証に失敗したIPアドレスからの接続を拒否する。

Install

Ubuntuの場合

sudo aptitude install fail2ban

CentOSの場合

RedHatのRPMがあるのでこれをインストール。

rpm -ivh http://fail2ban.sourceforge.net/rpms/fail2ban-0.6.0-1jik.noarch.rpm

helpを表示する。

installが終わったら

fail2ban -h

で以下のようなヘルプが表示できる。

 -b         start in background
 -d         start in debug mode
 -c <FILE>  read configuration file FILE
 -p <FILE>  create PID lock in FILE
 -h         display this help message
 -i <IP(s)> IP(s) to ignore
 -k         kill a currently running instance
 -r <VALUE> allow a max of VALUE password failure [maxfailures]
 -t <TIME>  ban IP for TIME seconds [bantime]
 -f <TIME>  lifetime in seconds of failed entry [findtime]
 -v         verbose. Use twice for greater effect
 -V         print software version

設定する。

/etc/fail2ban.conf

に設定ファイルができるので編集する。

基本的な値について説明 全体にかかる設定などは[DEFAULT]の中の項目をいじる。

bantime:何秒間banするか。デフォルトは600秒。

今回はSSHの認証のチェックを行うので 251行目の[SSH]からの値を編集。といっても特に編集するとこはないかも。

logfile = /var/log/secure

にちゃんとSSHのログがあるかどうか調べるくらいか?

起動

/etc/init.d/fail2ban start

さぁこれでどうなるかなぁ?

関連リンク