ウェブサーバを立ち上げ、サイト開設するじゃないですか。
数日後、アクセスログを見るじゃないですか。
下のようなありさまじゃないですか。
- サイトへのアクセスログ : ゼロ
- 不正アクセスを試みるログ : たくさん
そう、僕が開設したのは、サイトではなかったのです。
ただの攻撃対象だったのです。。
お・わ・り (ゝω・)v
🐟 ... 🐟 ... 🐟 ...
このままでは悲しいので (というか、このまま放置すると、致命的な被害を被るおそれもありますので)、Fail2banを導入することにします。
要旨
この記事では、Fail2banというツールの概要を書きます。
具体的な設定の例は、検索したらたくさん出てきましたので、そちらを参照するとよいかと思います。
ツール概要
アクセス遮断したいIPアドレスを登録してくれるデーモンです。
ログ監視により、遮断IPアドレスが判断されるので、「どのログ」の「どんなアクセス」が「何回あったか」などを設定する必要があります。
バージョン
- OS : CentOS 7.6
- Fail2ban : 0.9.7
インストール
CentOSなら yum からでも可です。
設定
/etc/fail2ban/jail.d/
Banの個別設定です。
- どのログファイルを監視するか
- filter.dで設定した文字列を、何秒に何回検知したらBanするか
- Banする期間は何秒か
などを設定します。
/etc/fail2ban/filter.d/
検知したいログの文字列を設定します。
どのfilterを使うかはjailで設定します。
運用
すべき設定をしたら、 systemctl コマンドでデーモンを起動します。
$ fail2ban-client list [jailで定義した文字列]
で出力されるBanリスト (BanされたIPリスト) を見ると、導入してよかったな、と思えます。
おわりに
この記事では、Fail2banというツールの概要を書きました。
それではごきげんよう。