CentOS 7 に fail2ban をインストール

centos7

firewalld

先日作ったサーバに root へのパスワードログインの失敗がしこたま溜まっていたので fail2ban をインストールしました。

あらかじめサーバには PermitRootLogin without-password という設定がしてあるので、そもそも root にはパスワードログインできませんが、ブルートフォースを受けたログが溜まるのがイヤなんですよね。fail2ban は ssh などのログを監視して一定以上の試行失敗があった場合に発信元からの接続を一定時間拒否するようになります。拒否設定はサーバのファイアーウォール (firewalld) によって行われるので、発信元からはコネクションが開かなくなります。よって、その後の接続の履歴も残りません。

インストールは epel を使えば yum で一撃です。必要に応じて /etc/fail2ban/fail2ban.conf をカスタマイズします。

rpm -ivh http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-5.noarch.rpm
yum install -y fail2ban fail2ban-systemd
vi /etc/fail2ban/jail.conf # 以下の diff のように編集
systemctl start fail2ban
systemctl enable fail2ban
systemctl status fail2ban
fail2ban-client status sshd

diff -u /etc/fail2ban/jail.conf{.org,}

--- jail.conf.org	2016-10-04 07:46:06.000000000 +0900
+++ jail.conf	2017-01-16 03:12:43.044381342 +0900
@@ -20,8 +20,8 @@
 # [DEFAULT]
 # bantime = 3600
 #
-# [sshd]
-# enabled = true
+[sshd]
+enabled = true
 #
 # See jail.conf(5) man page for more information

@@ -47,7 +47,7 @@
 # "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
 # ban a host which matches an address in this list. Several addresses can be
 # defined using space (and/or comma) separator.
-ignoreip = 127.0.0.1/8
+ignoreip = 127.0.0.1/8,172.16.0.0/24

 # External command that will take an tagged arguments to ignore, e.g. <ip>,
 # and return true if the IP is to be ignored. False otherwise.
@@ -157,7 +157,8 @@
 # iptables-multiport, shorewall, etc) It is used to define
 # action_* variables. Can be overridden globally or per
 # section within jail.local file
-banaction = iptables-multiport
+#banaction = iptables-multiport
+banaction = firewallcmd-ipset
 banaction_allports = iptables-allports

 # The simplest action to take: ban only