====== Fail2ban のインストール ======

Ubuntu に Fail2ban をインストールして、不正アクセスを試みるホストを遮断する。

==== インストール前の環境 ====

  * Ubuntu 14.04.1 LTS 64bit

^ パッケージ名 ^ バージョン ^ インストールするバージョン ^
| fail2ban | none | 0.8.11-1 |


===== インストール =====

パッケージをインストール。

<code>
$ sudo apt-get install fail2ban 
</code>



===== 設定 =====

Fail2ban の設定を行うため、fail.conf をコピーして編集する。

<code>
$ cd /etc/fail2ban
$ sudo cp jail.conf jail.local
</code>

<code>
$ sudo vi jail.local
</code>

==== 基本設定 ====


遮断対象から除外する IP アドレス

<code>
ignoreip = 127.0.0.1/8
</code>

遮断する秒数を設定。3時間に変更。
<code>
# bantime  = 600
bantime  = 10800
</code>

遮断する条件を設定。10分以内に5回認証に失敗したら遮断する。

<code>
findtime = 600
# maxretry = 3
maxretry = 5
</code>

==== メール通知設定 ====

メールでの通史を行うことができるが、別途 MTA が必要になる。

通知先のメールアドレスを設定。

<code>
# destemail = root@localhost
destemail = user@hogepiyo.com
</code>

action の設定値を変更する。

<code>
# action = %(action_)s 
action = %(action_mw)s 
</code>

==== 侵入を検知するプロセスの設定 ====

SSH はデフォルトで検知対象に入っている。Apache を検知対象に含めたい場合は以下のように変更。

<code>
[apache]

# enabled  = false
enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 6
</code>

==== 設定の変更を適用 ====

Fail2ban を再起動して、設定を適用する。

<code>
$ sudo service fail2ban restart
</code>

===== 動作確認 =====

iptable の設定を確認することで、遮断されたホストを調べることができる。

<code>
$ sudo iptables -L
</code>


===== 参考 =====


[[https://help.ubuntu.com/community/Fail2ban|Community Help Wiki]]