Fail2ban は、 apache 等のログファイルを読み取って、侵入検知を行うソフトウェア
sudo apt -y update sudo apt -y install fail2ban sudo fail2ban-client reload sudo fail2ban-client status ssh
設定は /etc/fail2ban/jail.local で行われている. 既定(デフォルト)の設定では、一定時間内でのログインの失敗が「3」を超えると、600秒ロックされるようになっている (下図)
設定を変えたいときは、/etc/fail2ban/jail.conf ではなく, /etc/fail2ban/jail.local を書き換えて行う. 書き換えが終わったら, 次のコマンドを実行する.
sudo fail2ban-client reload sudo service sshd restart
前準備として,SSH サーバの導入が終わっていること.
https://github.com/mitchellkrogza/Fail2Ban-Blacklist-JAIL-for-Repeat-Offenders-with-Perma-Extended-Banning の公開情報による
sudo apt -y update sudo apt -y install fail2ban sudo fail2ban-client reload sudo fail2ban-client status sshd sudo wget https://raw.githubusercontent.com/mitchellkrogza/Fail2Ban-Blacklist-JAIL-for-Repeat-Offenders-with-Perma-Extended-Banning/master/filter.d/blacklist.conf -O /etc/fail2ban/filter.d/blacklist.conf sudo wget https://raw.githubusercontent.com/mitchellkrogza/Fail2Ban-Blacklist-JAIL-for-Repeat-Offenders-with-Perma-Extended-Banning/master/action.d/blacklist.conf -O /etc/fail2ban/action.d/blacklist.conf sudo service fail2ban restart
このファイルがないときは,ファイルを新規作成.
[DEFAULT] port = 0:65535 filter = %(__name__)s [blacklist] enabled = true logpath = /var/log/fail2ban.* filter = blacklist banaction = blacklist action = %(action_)s bantime = 31536000 ; 1 year findtime = 31536000 ; 1 year maxretry = 10
sudo touch /etc/fail2ban/ip.blacklist sudo chmod 775 /etc/fail2ban/ip.blacklist sudo service fail2ban restart sudo fail2ban-client reload sudo service sshd restart
cat /var/log/fail2ban.log cat /etc/fail2ban/ip.blacklist