2019年11月22日に初出の投稿

Last modified: 2019-11-22

2019-11-22 12:10:18,988 fail2ban.actions [25789]: NOTICE [ssh-iptables] Ban 104.238.110.156

2019-11-22 12:10:19,016 fail2ban.filter [25789]: INFO [postfix-sasl] Found 46.38.144.146

2019-11-22 12:10:19,304 fail2ban.actions [25789]: NOTICE [postfix-sasl] Ban 46.38.144.146

2019-11-22 12:10:19,409 fail2ban.actions [25789]: NOTICE [ssh-iptables] Ban 106.75.193.16

2019-11-22 12:10:19,725 fail2ban.actions [25789]: NOTICE [postfix-sasl] Ban 46.38.144.17

2019-11-22 12:10:19,831 fail2ban.actions [25789]: NOTICE [ssh-iptables] Ban 164.132.54.246

2019-11-22 12:10:20,149 fail2ban.actions [25789]: NOTICE [postfix-sasl] Ban 46.38.144.179

2019-11-22 12:10:20,254 fail2ban.actions [25789]: NOTICE [ssh-iptables] Ban 218.92.0.205

2019-11-22 12:10:20,572 fail2ban.actions [25789]: NOTICE [postfix-sasl] Ban 46.38.144.32

2019-11-22 12:10:20,678 fail2ban.actions [25789]: NOTICE [ssh-iptables] Ban 222.186.175.167

2019-11-22 12:10:20,996 fail2ban.actions [25789]: NOTICE [postfix-sasl] Ban 46.38.144.57

2019-11-22 12:10:21,102 fail2ban.actions [25789]: NOTICE [ssh-iptables] Ban 222.186.180.223

2019-11-22 12:10:21,420 fail2ban.actions [25789]: NOTICE [postfix-sasl] Ban 92.118.38.38

2019-11-22 12:10:21,525 fail2ban.actions [25789]: NOTICE [ssh-iptables] Ban 222.186.180.8

2019-11-22 12:10:21,843 fail2ban.actions [25789]: NOTICE [postfix-sasl] Ban 92.118.38.55

2019-11-22 12:10:21,948 fail2ban.actions [25789]: NOTICE [ssh-iptables] Ban 222.186.42.4

2019-11-22 12:10:22,372 fail2ban.actions [25789]: NOTICE [ssh-iptables] Ban 69.244.198.97

さきほど、当社のステージング・サーバに新規案件のサブドメインを設定したついでで、fail2ban.log の中身を確認していた。CentOS 6 であるため、FW は firewallcmd ではなく iptables なのだが、やっていることは同じであり、/var/log/maillog とか /var/log/secure の中身をスキャンして、設定時間内に認証を所定の回数以上(僕はディフォールトの5回よりも厳しく3回にしている)で失敗したアクセス元の IP アドレスを抽出して、ファイアーウォールで対応するべきアクセス元として登録している。「対応」には、もちろん REJECT や DROP など幾つが方法があるが、サーバ自体に負荷をかけないようにするなら、相手にいちいち反応してやる必要などないのだし、DROP でいいだろう。

なお、どのサービスで有効にするかは動いているサービスによって異なるが、ssh と ftp と smtp くらいはたいていのウェブサーバで動かすだろうし、考慮していいと思う。

それから僕がサーバを構築するときに、しばしば OSSEC を使っていると書いているので、いまさら同じような機能の fail2ban をなんで使うのかと不思議に思う人がいるかもしれないが、fail2ban はシステム・ログを監査して、主に bruteforce 攻撃に対抗するものであって、OSSEC のように指定したファイルの変更管理までやるわけではない。一部の機能が重複しているからといって、どちらかを排他的に選ぶ必要はなく、両方を適切に設定して使えばいいだけだ。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook