BLOGTIMES
2014/12/14

CentOS 7 に fail2ban をインストール

  centos7  firewalld 
このエントリーをはてなブックマークに追加

先日作ったサーバに root へのパスワードログインの失敗がしこたま溜まっていたので fail2ban をインストールしました。

あらかじめサーバには PermitRootLogin without-password という設定がしてあるので、そもそも root にはパスワードログインできませんが、ブルートフォースを受けたログが溜まるのがイヤなんですよね。fail2ban は ssh などのログを監視して一定以上の試行失敗があった場合に発信元からの接続を一定時間拒否するようになります。拒否設定はサーバのファイアーウォール (firewalld) によって行われるので、発信元からはコネクションが開かなくなります。よって、その後の接続の履歴も残りません。

インストールは epel を使えば yum で一撃です。必要に応じて /etc/fail2ban/fail2ban.conf をカスタマイズします。

rpm -ivh http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-5.noarch.rpm yum install -y fail2ban fail2ban-systemd vi /etc/fail2ban/jail.conf # 以下の diff のように編集 systemctl start fail2ban systemctl enable fail2ban systemctl status fail2ban fail2ban-client status sshd

diff -u /etc/fail2ban/jail.conf{.org,}

--- jail.conf.org 2016-10-04 07:46:06.000000000 +0900 +++ jail.conf 2017-01-16 03:12:43.044381342 +0900 @@ -20,8 +20,8 @@ # [DEFAULT] # bantime = 3600 # -# [sshd] -# enabled = true +[sshd] +enabled = true # # See jail.conf(5) man page for more information @@ -47,7 +47,7 @@ # "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not # ban a host which matches an address in this list. Several addresses can be # defined using space (and/or comma) separator. -ignoreip = 127.0.0.1/8 +ignoreip = 127.0.0.1/8,172.16.0.0/24 # External command that will take an tagged arguments to ignore, e.g. <ip>, # and return true if the IP is to be ignored. False otherwise. @@ -157,7 +157,8 @@ # iptables-multiport, shorewall, etc) It is used to define # action_* variables. Can be overridden globally or per # section within jail.local file -banaction = iptables-multiport +#banaction = iptables-multiport +banaction = firewallcmd-ipset banaction_allports = iptables-allports # The simplest action to take: ban only

    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/7262
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン