fail2banを試す。

2012年7月13日

【PR】【正規MFi認証品】iPhone 充電ケーブル 純正 ライトニングケーブル 2M 3本セッ iPhone 充電器 ケーブル lightning ケーブル アイフォン充電ケーブル 急速充電＆超高耐久 iPhone 14 iPhone 13 13mini pro max 12 12mini SE2 11 X XS XR 8 7 6 Plus iPad 対応…

(2609)

￥999 (2024年4月27日 20:04 GMT +09:00 時点 - 詳細はこちら価格および発送可能時期は表示された日付/時刻の時点のものであり、変更される場合があります。本商品の購入においては、購入の時点で当該の Amazon サイトに表示されている価格および発送可能時期の情報が適用されます。)

これも日経Linux７月号の記事ですが、SSHやApache、DNSへのアタック元IPを自動でブロック、一定時間後に開放するfail2banが便利そうです。以前はswatchをいろいろ設定して同じ事をやっている記事を見たことがありますが、そういう仕組みを提供してくれて、最初から用意されているものをテンプレートに自分で独自の制限も追加できるみたいです。CentOSならリポジトリに「epel」を追加していれば、yumで入ります。

以下、actionにshorewallじゃなくてiptablesを使う場合の追加サンプル（CentOS)。
logpathのログの場所とかは読み替えてください。あと、sendmailの行は前の行のiptables・・・と始まりの位置を合わせて置いたほうがいいかも。

[apache-badbots]

enabled  = true
filter   = apache-badbots
action   = iptables-multiport[name=BadBots, port="http,https"]
           sendmail-buffered[name=BadBots, lines=5, dest=root]
logpath  = /var/www/*/logs/access_log
bantime  = 172800
maxretry = 1

[apache-noscript]

enabled  = true
filter   = apache-noscript
action   = iptables[name=NoScript, port=http, protocol=tcp]
           sendmail-whois[name=Noscript, dest=root]
logpath  = /var/www/*/logs/error_log
bantime  = 172800
maxretry = 3

[apache-overflows]

enabled  = true
filter   = apache-overflows
action   = iptables[name=OverFlows, port=http, protocol=tcp]
           sendmail-whois[name=Overflows, dest=root]
logpath  = /var/www/*/logs/error_log
bantime  = 172800
maxretry = 3

【php-url-fopen】←太い【】を細い［］に変えてください。
enabled = true
filter = php-url-fopen
action = iptables[name=php-url-fopen, port=http, protocol=tcp]
         sendmail-buffered[name=php-url-fopen, lines=5, dest=root]
logpath = /var/www/*/logs/access_log
maxretry = 1

動作結果は

iptables -L

で確認。

しばらく

tail -f /var/log/messages

で眺めていると・・・
おお！↓早速ブロックしてる。

Jul 14 11:46:15 fail2ban.actions: WARNING [apache-badbots] Ban 27.50.131.11

フィルタ状態確認

# fail2ban-client status apache-badbots
Status for the jail: apache-badbots
|- filter
|  |- File list:        /var/log/httpd/access_log
|  |- Currently failed: 0
|  `- Total failed:     0
`- action
   |- Currently banned: 0
   |  `- IP list:
   `- Total banned:     0

【PR】ALLOUT パワーグリップ プロ 正規品 オールアウト

(8667)

￥2,980 (2024年4月27日 20:04 GMT +09:00 時点 - 詳細はこちら価格および発送可能時期は表示された日付/時刻の時点のものであり、変更される場合があります。本商品の購入においては、購入の時点で当該の Amazon サイトに表示されている価格および発送可能時期の情報が適用されます。)