既存のサーバから移行する場合

基本的には，jail.confだけコピーすればOK．独自のフィルタや独自のアクションを追加していたら，action.d/やfilter.d/もコピーする．
```
 cp -a  /prev/etc/fail2ban/jail.conf /etc/fail2ban
```

新規インストールの場合

yastでインストールする．
fail2banサービスを起動する(/etc/init.d/fail2ban start)
fail2banサービスの自動起動の設定する．(chkconfig fail2ban on)

jail.confの設定．重要なのは以下．

[DEFAULT]
# banしないIPアドレス
ignoreip = 127.0.0.1 192.168.150.0/24
# 禁止する時間
bantime  = 60000

SSHのアクセスに基づいてbanする．

[ssh-iptables]
# チェックのオン・オフ
enabled  = true
filter   = sshd
action   = iptables-allports[name=SSH]
         sendmail-whois[name=SSH, dest=hoge@nkjm.info, sender=fail2ban@nkjm.info]
# sshのログの場所の指定
logpath  = /var/log/messages

[apache-tcpwrapper]もenable=trueにしても良いかも．

TIPS

フィルタのテスト

"fail2ban-regex /var/log/messages /etc/fail2ban/filter.d/sshd.conf"のようにするとフィルタのテストができる．
"fail2ban-regex /var/log/apache2/error_log /etc/fail2ban/filter.d/apache-noscript.conf"あたりも良く使いそう．

起動のテスト

fail2ban-clientを直に叩いてみる．

/usr/bin/fail2ban-client start
WARNING 'action' not defined in 'php-url-fopen'. Using default value
ERROR  Error in action definition
ERROR  Errors in jail 'php-url-fopen'. Skipping...

[ツッコミを入れる]

本日のリンク元

その他のリンク元