​fail2ban 으로 일정횟수 이상의 접속 실패 IP 차단

   조회 1164   추천 1    

http://ehostidc.co.kr/center/EH050402.php?no=279270&page=5&choose=tit… (37)
https://blog.naver.com/goethe1/221607503878 (29)

fail2ban 으로 일정횟수 이상의 접속 실패 IP 차단

CentOS 7 환경

1. 저정소 추가 

# rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

2. 패키지 설치

# yum --enablerepo epel install fail2ban


# systemctl enable fail2ban
# systemctl restart fail2ban

3. 환경 설정

# vi /etc/fail2ban/jail.conf

# 접속 차단 예외 IP
ignoreip = 127.0.0.1/8 192.168.10.0/24

# 접속 차단 시간 default 600초
bantime = 600

# findtime(초) 내에 maxretty 횟수만큼 인증 실패시 차단
findtime = 60
maxretry = 5

4. 별도 설정 파일 ( 별도 파일 생성을 통한 관리)

# vi /etc/fail2ban/jail.local 
[DEFAULT]
bantime = 3600
[sshd]
enabled = true

5. 서비스 확인

a. iptables 룰셋 확인





b. 전체 상태

# fail2ban-client status

c. 서비스별 상태

# fail2ban-client status sshd

d. ipset 설정(차단) 확인

# ipset --list

e. fail2ban 로그 확인

awk "($(NF-1) = /Ban/){print $NF}" /var/log/fail2ban.log | sort | uniq -c | sort -n





www.ehostidc.co.kr ( 이호스트ICT )
짧은글 일수록 신중하게.
만년초보 2019-08
유익한 내용 감사합니다.
CentOS 에다  fail2ban 사용중이긴 하지만, 초보라 어찌할 줄 모르는 참이었는데, 문의 글 한번 올려봅니다.
messages 로그에 보면 아래와 같이 smtp 시도 로그가 잔뜩 쌓이고 있습니다.
소인의 경우 웹서버에서는 웹싸이트만 가동하고, dns 서버는 외부의 웹dns 이용하고, 이메일 서버는 Office365 이메일 smtp를 이용합니다.
그러면 저의 웹서버에서는 웹싸이트에서 생산하여 발송하는 이메일에 대한 발송만 실행하면 되고, 외부의 제 3자 메일을 수신할 필요가 없고 릴레이할 필요도 없는데, 제가 뭐 불필요한 서비스를 실행하고 있는 것일지요?

Postfix 는 실행하고 하고, BIND 와  Dovecot IMAP/POP3 는 중지시켜두고 있습니다.
fail2ban 을 실행하고 있고, iptables과 host.deny에 모든 외부 IP에 대해서 sshd, ftpd,mysqld 접속 차단해두고 있습니다. 

Postfix 설정에 뭔가를 해주어야 하는지, fail2ban에 뭔가를 해주어야 하는지 알 수 있으면 좋겠습니다.

뭐든 조언을 좀 해주시면 고맙겠습니다.

Aug 18 01:16:48 huso saslauthd[3869]: do_auth        : auth failure: [user=foo@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:00 huso saslauthd[3865]: do_auth        : auth failure: [user=settle@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:03 huso saslauthd[3868]: do_auth        : auth failure: [user=xxxx@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:04 huso saslauthd[3866]: do_auth        : auth failure: [user=user] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:05 huso saslauthd[3865]: do_auth        : auth failure: [user=mold@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:27 huso saslauthd[3867]: do_auth        : auth failure: [user=mozart@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:28 huso saslauthd[3868]: do_auth        : auth failure: [user=foobar@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:35 huso saslauthd[3865]: do_auth        : auth failure: [user=tomsk@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:40 huso saslauthd[3866]: do_auth        : auth failure: [user=sonia@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:17:42 huso saslauthd[3869]: do_auth        : auth failure: [user=murray@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:03 huso saslauthd[3865]: do_auth        : auth failure: [user=house@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:07 huso saslauthd[3867]: do_auth        : auth failure: [user=foobet@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:10 huso saslauthd[3868]: do_auth        : auth failure: [user=oshima@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:19 huso saslauthd[3869]: do_auth        : auth failure: [user=mall@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:28 huso saslauthd[3866]: do_auth        : auth failure: [user=pund@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:41 huso saslauthd[3867]: do_auth        : auth failure: [user=rosie@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:46 huso saslauthd[3869]: do_auth        : auth failure: [user=overseas@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]
Aug 18 01:18:55 huso saslauthd[3866]: do_auth        : auth failure: [user=foodpolis@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]




PDS
제목Page 5/60
2014-05   2940803   정은준1
2014-04   2645120   회원K
2019-09   1006   김황중
2019-09   969   무한도전
2019-08   1802   앙드레준
2019-08   946   무한도전
2019-08   1012   무한도전
2019-08   1111   제갈기천
2019-08   985   제갈기천
2019-08   1066   무한도전
2019-08   907   무한도전
2019-08   1267   이선호
2019-08   1128   무한도전
2019-08   967   임시현
2019-08   873   무한도전
2019-08   1135   무한도전
2019-08   1158   calculators
2019-08   1165   무한도전
2019-08   1331   조용원
2019-08   940   무한도전
2019-08   1381   무한도전
2019-08   856   조용원