yuu_nkjm blog


2011-07-20(Wed) [長年日記]

[サーバまとめ][openSUSE][fail2ban] fail2banのまとめ

既存のサーバから移行する場合

  • 基本的には,jail.confだけコピーすればOK.独自のフィルタや独自のアクションを追加していたら,action.d/やfilter.d/もコピーする.
     cp -a  /prev/etc/fail2ban/jail.conf /etc/fail2ban
    

新規インストールの場合

  • yastでインストールする.
  • fail2banサービスを起動する(/etc/init.d/fail2ban start)
  • fail2banサービスの自動起動の設定する.(chkconfig fail2ban on)
  • jail.confの設定.重要なのは以下.
    [DEFAULT]
    # banしないIPアドレス
    ignoreip = 127.0.0.1 192.168.150.0/24
    # 禁止する時間
    bantime  = 60000
    
    SSHのアクセスに基づいてbanする.
    [ssh-iptables]
    # チェックのオン・オフ
    enabled  = true
    filter   = sshd
    action   = iptables-allports[name=SSH]
             sendmail-whois[name=SSH, dest=hoge@nkjm.info, sender=fail2ban@nkjm.info]
    # sshのログの場所の指定
    logpath  = /var/log/messages
    
  • [apache-tcpwrapper]もenable=trueにしても良いかも.

TIPS

フィルタのテスト
  • "fail2ban-regex /var/log/messages /etc/fail2ban/filter.d/sshd.conf"のようにするとフィルタのテストができる.
  • "fail2ban-regex /var/log/apache2/error_log /etc/fail2ban/filter.d/apache-noscript.conf"あたりも良く使いそう.
  • 起動のテスト

    fail2ban-clientを直に叩いてみる.

    /usr/bin/fail2ban-client start
    WARNING 'action' not defined in 'php-url-fopen'. Using default value
    ERROR  Error in action definition
    ERROR  Errors in jail 'php-url-fopen'. Skipping...
    

トップ «前の日記(2011-07-19(Tue)) 最新 次の日記(2011-07-21(Thu))» 月表示 編集 設定
2006|01|06|12|
2007|06|09|
2008|01|03|04|06|07|08|09|10|12|
2009|01|02|05|06|07|08|10|11|12|
2010|03|04|05|06|07|08|09|10|11|
2011|01|02|03|04|05|06|07|08|09|11|12|
2012|01|02|04|06|07|08|10|11|12|
2013|01|02|03|07|08|10|11|12|
2014|01|02|04|05|06|07|08|09|10|11|
2015|01|02|07|11|12|
2016|01|03|05|07|08|09|