ユーザ用ツール

サイト用ツール


ubuntu-server-14-04:fail2ban

Fail2ban のインストール

Ubuntu に Fail2ban をインストールして、不正アクセスを試みるホストを遮断する。

インストール前の環境

  • Ubuntu 14.04.1 LTS 64bit
パッケージ名 バージョン インストールするバージョン
fail2ban none 0.8.11-1

インストール

パッケージをインストール。

$ sudo apt-get install fail2ban 

設定

Fail2ban の設定を行うため、fail.conf をコピーして編集する。

$ cd /etc/fail2ban
$ sudo cp jail.conf jail.local
$ sudo vi jail.local

基本設定

遮断対象から除外する IP アドレス

ignoreip = 127.0.0.1/8

遮断する秒数を設定。3時間に変更。

# bantime  = 600
bantime  = 10800

遮断する条件を設定。10分以内に5回認証に失敗したら遮断する。

findtime = 600
# maxretry = 3
maxretry = 5

メール通知設定

メールでの通史を行うことができるが、別途 MTA が必要になる。

通知先のメールアドレスを設定。

# destemail = root@localhost
destemail = user@hogepiyo.com

action の設定値を変更する。

# action = %(action_)s 
action = %(action_mw)s 

侵入を検知するプロセスの設定

SSH はデフォルトで検知対象に入っている。Apache を検知対象に含めたい場合は以下のように変更。

[apache]

# enabled  = false
enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/*error.log
maxretry = 6

設定の変更を適用

Fail2ban を再起動して、設定を適用する。

$ sudo service fail2ban restart

動作確認

iptable の設定を確認することで、遮断されたホストを調べることができる。

$ sudo iptables -L

参考

ubuntu-server-14-04/fail2ban.txt · 最終更新: 2015/05/30 16:12 by admin