​fail2ban 으로 일정횟수 이상의 접속 실패 IP 차단

   조회 735   추천 1    

http://ehostidc.co.kr/center/EH050402.php?no=279270&page=5&choose=tit… (27)
https://blog.naver.com/goethe1/221607503878 (18)

fail2ban 으로 일정횟수 이상의 접속 실패 IP 차단

CentOS 7 환경

1. 저정소 추가 

# rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

2. 패키지 설치

# yum --enablerepo epel install fail2ban


# systemctl enable fail2ban
# systemctl restart fail2ban

3. 환경 설정

# vi /etc/fail2ban/jail.conf

# 접속 차단 예외 IP
ignoreip = 127.0.0.1/8 192.168.10.0/24

# 접속 차단 시간 default 600초
bantime = 600

# findtime(초) 내에 maxretty 횟수만큼 인증 실패시 차단
findtime = 60
maxretry = 5

4. 별도 설정 파일 ( 별도 파일 생성을 통한 관리)

# vi /etc/fail2ban/jail.local 
[DEFAULT]
bantime = 3600
[sshd]
enabled = true

5. 서비스 확인

a. iptables 룰셋 확인





b. 전체 상태

# fail2ban-client status

c. 서비스별 상태

# fail2ban-client status sshd

d. ipset 설정(차단) 확인

# ipset --list

e. fail2ban 로그 확인

awk "($(NF-1) = /Ban/){print $NF}" /var/log/fail2ban.log | sort | uniq -c | sort -n





www.ehostidc.co.kr ( 이호스트ICT )
짧은글 일수록 신중하게.
만년초보 08-18
유익한 내용 감사합니다.
CentOS 에다  fail2ban 사용중이긴 하지만, 초보라 어찌할 줄 모르는 참이었는데, 문의 글 한번 올려봅니다.
messages 로그에 보면 아래와 같이 smtp 시도 로그가 잔뜩 쌓이고 있습니다.
소인의 경우 웹서버에서는 웹싸이트만 가동하고, dns 서버는 외부의 웹dns 이용하고, 이메일 서버는 Office365 이메일 smtp를 이용합니다.
그러면 저의 웹서버에서는 웹싸이트에서 생산하여 발송하는 이메일에 대한 발송만 실행하면 되고, 외부의 제 3자 메일을 수신할 필요가 없고 릴레이할 필요도 없는데, 제가 뭐 불필요한 서비스를 실행하고 있는 것일지요?

Postfix 는 실행하고 하고, BIND 와  Dovecot IMAP/POP3 는 중지시켜두고 있습니다.
fail2ban 을 실행하고 있고, iptables과 host.deny에 모든 외부 IP에 대해서 sshd, ftpd,mysqld 접속 차단해두고 있습니다. 

Postfix 설정에 뭔가를 해주어야 하는지, fail2ban에 뭔가를 해주어야 하는지 알 수 있으면 좋겠습니다.

뭐든 조언을 좀 해주시면 고맙겠습니다.

Aug 18 01:16:48 huso saslauthd[3869]: do_auth        : auth failure: [user=foo@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:00 huso saslauthd[3865]: do_auth        : auth failure: [user=settle@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:03 huso saslauthd[3868]: do_auth        : auth failure: [user=xxxx@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:04 huso saslauthd[3866]: do_auth        : auth failure: [user=user] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:05 huso saslauthd[3865]: do_auth        : auth failure: [user=mold@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:27 huso saslauthd[3867]: do_auth        : auth failure: [user=mozart@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:28 huso saslauthd[3868]: do_auth        : auth failure: [user=foobar@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:35 huso saslauthd[3865]: do_auth        : auth failure: [user=tomsk@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:40 huso saslauthd[3866]: do_auth        : auth failure: [user=sonia@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:42 huso saslauthd[3869]: do_auth        : auth failure: [user=murray@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:03 huso saslauthd[3865]: do_auth        : auth failure: [user=house@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:07 huso saslauthd[3867]: do_auth        : auth failure: [user=foobet@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:10 huso saslauthd[3868]: do_auth        : auth failure: [user=oshima@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:19 huso saslauthd[3869]: do_auth        : auth failure: [user=mall@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:28 huso saslauthd[3866]: do_auth        : auth failure: [user=pund@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:41 huso saslauthd[3867]: do_auth        : auth failure: [user=rosie@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:46 huso saslauthd[3869]: do_auth        : auth failure: [user=overseas@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:55 huso saslauthd[3866]: do_auth        : auth failure: [user=foodpolis@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]




PDS
제목Page 2/58
2014-05   2848331   정은준1
2014-04   2549811   회원K
09-20   636   무한도전
09-19   599   무한도전
09-18   719   무한도전
09-17   690   무한도전
09-17   540   광주까나리
09-16   565   무한도전
09-13   756   무아
09-16   461   FOXBI
09-10   739   무한도전
09-09   671   무한도전
09-07   765   스캔l민현기
09-06   682   무한도전
09-06   596   유정호샤콘느
09-04   732   무한도전
09-04   576   김황중
09-03   617   무한도전
08-31   1011   앙드레준
08-30   661   무한도전
08-29   711   무한도전
08-28   788   제갈기천