Fail2Banについて:
Fail2Banは、セキュリティベースのアプリケーションです。 。 SSHとFTPを不正な接続から保護するために使用されます。 Fail2banはログファイルをスキャンします(例: / var / log / apache / error_log )悪意のある兆候を示すIPを禁止します—パスワードの失敗が多すぎる、エクスプロイトを探すなど。
Fail2Banのインストール:
Fail2BanはCentOSから入手できないため、Fail2Banをインストールするには、EPELリポジトリを有効にする必要があります。したがって、EPELリポジトリをダウンロードすることから始めます:
#rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpmyumコマンドを使用してFail2Banをインストールします:
#yum install fail2ban
Fail2Ban構成の基本設定:
デフォルトのFail2Ban構成ファイルは、etc / fail2ban/jail.confにあります。ただし、そのファイルで構成作業を行うべきではなく、代わりにそのファイルのローカルコピーを作成する必要があります。
#cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.localファイルがコピーされた後、新しいjail.localファイル内ですべての変更を行うことができます。保護が必要な可能性のあるサービスの多くは、すでにファイルに含まれています。それぞれが独自のセクションにあり、構成され、オフになっています。
編集モードでファイルjail.localを開きます:
#vim /etc/fail2ban/jail.local以下のデフォルトのセクションをご覧ください。
[デフォルト]
#「ignoreip」は、IPアドレス、CIDRマスク、またはDNSホストにすることができます。 Fail2banは
#このリストのアドレスに一致するホストを禁止しません。複数のアドレスを
#スペースセパレーターを使用して定義できます。
ignoreip =127.0.0.1
#「bantime」は、ホストが禁止されている秒数です。
bantime =3600
#最後の「findtime」の間に「maxretry」を生成した場合、ホストは禁止されます
#秒。
findtime =600
#「maxretry」は、ホストが禁止されるまでの失敗の数です。
maxretry =3
個人のIPアドレスをignoreip行に書き込みます。各アドレスはスペースで区切ることができます。 IgnoreIP 特定のIPアドレスをホワイトリストに登録し、それらがVPSからロックアウトされていないことを確認できます。住所を含めることで、誤って自分の仮想プライベートサーバーを禁止しないことが保証されます。
次のステップは、禁止時間を決定することです 、ホストがいずれかのルールに違反していることが判明した場合に、ホストがサーバーからブロックされる秒数。これは、ボットが禁止されると次のターゲットに移動する場合に特に便利です。デフォルトは10分に設定されています。必要に応じて、これを1時間(またはそれ以上)に上げることができます。
Maxretry は、ホストが禁止時間の長さにわたって禁止される前に、ホストが行う可能性のある誤ったログイン試行の量です。
検索時間 ホストがログインしなければならない時間を指します。デフォルト設定は10分です。これは、ホストが指定された10分間に最大回数を超えてログインしようとして失敗した場合、そのホストは禁止されることを意味します。
jail.localでssh-ipablesセクションを構成します:
confファイルの基本設定の後、SSH [ssh-iptables]のセクションが構成の少し下にあり、すでにセットアップされてオンになっています。
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=root, [email protected]]
logpath = /var/log/secure
maxretry = 5 Fail2Banを使用してFTPサーバーを保護します:
[proftpd-iptables]
enabled =false
filter =proftpd
action =iptables [name =ProFTPD、port =ftp、protocol =tcp]
sendmail-whois [name =ProFTPD、dest [email protected]]
logpath =/var/log/proftpd/proftpd.log
maxretry =6
有効– 「true」に設定すると、保護がオンになっていることを意味します。
フィルター –デフォルトでsshdに設定され、fail2banusesが一致を見つけるためのルールを含む構成ファイルを参照します。
アクション– 一致するIPアドレスを禁止するためにfail2banが実行する手順について説明します。
[ssh-iptables]の「dest」と「sender」の値を自分のIDとfail2banのIDとして変更できます。例:
dest [email protected]、sender [email protected]
ログパス– これは、fail2banが追跡するログの場所を指します。
最大再試行 SSHセクション内の行は、デフォルトオプションと同じ定義になっています。ただし、複数のサービスを有効にしていて、それぞれに特定の値を設定する場合は、SSHの新しい最大再試行回数をここで設定できます。
Fail2Banサービスの再開:
fail2ban構成ファイルに変更を加えたら、必ずFail2Banサービスを再起動してください。
#service fail2ban restartFail2Ban IPtablesルールの確認:
確認するには fail2ban iptalesルールについては、次のコマンドを入力してください:
#iptables -L
これで、Fail2BanがCentOSに正常にインストールされました。