fail2ban ツールはログ ファイルを監視し、指定した方法で悪意のある動作を検出するとすぐに動作します。一般的な使用例の 1 つは、iptables を使用してオンザフライでファイアウォール ルールを確立することにより、悪意のある IP アドレスをブロックすることです。
これは、SSH、FTP、SMTP、Apache などのさまざまなサービスを不要な訪問者から保護するためのツールです。失敗したログイン試行に基づくパターンのログ ファイルを読み取ることによって機能し、それに応じて問題のある IP アドレスを処理します。もちろん、すでに SSH サーバーやその他のサービスを直接アプリケーション レベルで強化している場合もありますが、このレシピの目的は、ブルート フォース攻撃の可能性に直面した場合、追加の保護レイヤーが常に役立つことを示すことです。 .
Ubuntu での fail2ban のアンインストール
fail2ban によって提供される機能にもかかわらず、パッケージをアンインストールしたい場合があります。そのためには、以下に概説する手順に従ってください:
1. fail2ban パッケージを削除します:
$ sudo apt-get remove fail2ban
2. 依存パッケージを含む fail2ban をアンインストールします。 fail2ban と、Ubuntu から不要になった依存パッケージを削除したい場合は、
$ sudo apt-get remove --auto-remove fail2ban
fail2ban のパージを使用
パージ オプションを使用して fail2ban パッケージを使用すると、すべての構成と依存パッケージが削除されます。
$ sudo apt-get purge fail2ban
自動削除と一緒にパージ オプションを使用すると、パッケージに関するすべてが削除されます。再インストールする場合に非常に便利です。
$ sudo apt-get purge --auto-remove fail2ban
Ubuntu での fail2ban の再インストール
Fail2ban のインストールと構成は比較的簡単です。まず、そのパッケージをインストールします:
$ sudo apt install fail2ban
インストール後、fail2ban デーモンが起動し、起動時に自動的に起動するように設定されます。 fail2ban の設定は、設定ファイルを作成するだけです。開始する最も簡単な方法は、jail.conf のコピーを作成し、jail.local として保存することです:
$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
必要に応じて /etc/fail2ban/jail.local 構成ファイルを編集し、fail2ban サービスを再起動します。
$ sudo systemctl restart fail2ban $ sudo systemctl status -l fail2ban
結論
Fail2Ban は、バックグラウンドで実行され、ログを監視するサードパーティ プログラムです。特定のログライン (前に示した認証チャレンジ行など) が一定回数表示されると、Fail2Ban はアクションを実行します。アラートを電子メールで送信するようにプログラムしたり、一定期間内に試行が多すぎると IPTables を使用して問題のある IP アドレスを自動的にブロックしたりするようにプログラムできます。