​fail2ban 으로 일정횟수 이상의 접속 실패 IP 차단

   조회 570   추천 1    

http://ehostidc.co.kr/center/EH050402.php?no=279270&page=5&choose=tit… (22)
https://blog.naver.com/goethe1/221607503878 (13)

fail2ban 으로 일정횟수 이상의 접속 실패 IP 차단

CentOS 7 환경

1. 저정소 추가 

# rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

2. 패키지 설치

# yum --enablerepo epel install fail2ban


# systemctl enable fail2ban
# systemctl restart fail2ban

3. 환경 설정

# vi /etc/fail2ban/jail.conf

# 접속 차단 예외 IP
ignoreip = 127.0.0.1/8 192.168.10.0/24

# 접속 차단 시간 default 600초
bantime = 600

# findtime(초) 내에 maxretty 횟수만큼 인증 실패시 차단
findtime = 60
maxretry = 5

4. 별도 설정 파일 ( 별도 파일 생성을 통한 관리)

# vi /etc/fail2ban/jail.local 
[DEFAULT]
bantime = 3600
[sshd]
enabled = true

5. 서비스 확인

a. iptables 룰셋 확인





b. 전체 상태

# fail2ban-client status

c. 서비스별 상태

# fail2ban-client status sshd

d. ipset 설정(차단) 확인

# ipset --list

e. fail2ban 로그 확인

awk "($(NF-1) = /Ban/){print $NF}" /var/log/fail2ban.log | sort | uniq -c | sort -n





www.ehostidc.co.kr ( 이호스트ICT )
짧은글 일수록 신중하게.
만년초보 08-18
유익한 내용 감사합니다.
CentOS 에다  fail2ban 사용중이긴 하지만, 초보라 어찌할 줄 모르는 참이었는데, 문의 글 한번 올려봅니다.
messages 로그에 보면 아래와 같이 smtp 시도 로그가 잔뜩 쌓이고 있습니다.
소인의 경우 웹서버에서는 웹싸이트만 가동하고, dns 서버는 외부의 웹dns 이용하고, 이메일 서버는 Office365 이메일 smtp를 이용합니다.
그러면 저의 웹서버에서는 웹싸이트에서 생산하여 발송하는 이메일에 대한 발송만 실행하면 되고, 외부의 제 3자 메일을 수신할 필요가 없고 릴레이할 필요도 없는데, 제가 뭐 불필요한 서비스를 실행하고 있는 것일지요?

Postfix 는 실행하고 하고, BIND 와  Dovecot IMAP/POP3 는 중지시켜두고 있습니다.
fail2ban 을 실행하고 있고, iptables과 host.deny에 모든 외부 IP에 대해서 sshd, ftpd,mysqld 접속 차단해두고 있습니다. 

Postfix 설정에 뭔가를 해주어야 하는지, fail2ban에 뭔가를 해주어야 하는지 알 수 있으면 좋겠습니다.

뭐든 조언을 좀 해주시면 고맙겠습니다.

Aug 18 01:16:48 huso saslauthd[3869]: do_auth        : auth failure: [user=foo@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:00 huso saslauthd[3865]: do_auth        : auth failure: [user=settle@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:03 huso saslauthd[3868]: do_auth        : auth failure: [user=xxxx@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:04 huso saslauthd[3866]: do_auth        : auth failure: [user=user] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:05 huso saslauthd[3865]: do_auth        : auth failure: [user=mold@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:27 huso saslauthd[3867]: do_auth        : auth failure: [user=mozart@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:28 huso saslauthd[3868]: do_auth        : auth failure: [user=foobar@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:35 huso saslauthd[3865]: do_auth        : auth failure: [user=tomsk@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:40 huso saslauthd[3866]: do_auth        : auth failure: [user=sonia@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:42 huso saslauthd[3869]: do_auth        : auth failure: [user=murray@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:03 huso saslauthd[3865]: do_auth        : auth failure: [user=house@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:07 huso saslauthd[3867]: do_auth        : auth failure: [user=foobet@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:10 huso saslauthd[3868]: do_auth        : auth failure: [user=oshima@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:19 huso saslauthd[3869]: do_auth        : auth failure: [user=mall@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:28 huso saslauthd[3866]: do_auth        : auth failure: [user=pund@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:41 huso saslauthd[3867]: do_auth        : auth failure: [user=rosie@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:46 huso saslauthd[3869]: do_auth        : auth failure: [user=overseas@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:55 huso saslauthd[3866]: do_auth        : auth failure: [user=foodpolis@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]




PDS
제목Page 2/56
2015-12   12152   백메가
2014-05   2825649   정은준1
08-23   519   임시현
08-22   471   무한도전
08-19   573   무한도전
08-17   654   calculators
08-17   571   무한도전
08-14   735   조용원
08-14   539   무한도전
08-12   646   무한도전
08-12   493   조용원
08-11   622   무한도전
08-10   585   허인구마틴
08-10   435   허인구마틴
08-10   479   허인구마틴
08-08   482   무한도전
08-08   525   무한도전
08-07   466   무한도전
08-05   511   무한도전
08-02   714   무한도전
08-01   760   조용원
08-01   853   FOXBI