2015.09.24 23:36
fail2ban은 공격자가 무작위로 특정서비스에 로그인 시도를 할 때
몇회 이상 로그인 실패시 일정기간 동안 차단하는 툴입니다.
대표적인 예로 무작위로 ssh에 로그인하는 봇에 대응하기 위한 툴입니다.
1. 설치하기
http://www.fail2ban.org/wiki/index.php/Downloads 에서 stable버전을 다운로드 합니다.
[root@yclee src]# wget https://github.com/fail2ban/fail2ban/archive/0.9.3.tar.gz
[root@yclee src]# tar zxvf 0.9.3.tar.gz
[root@yclee src]# cd fail2ban-0.9.3
[root@yclee src]# python setup.py install
[root@yclee src]# cp files/redhat-initd /etc/init.d/fail2ban //자동실행 설정 구문
[root@yclee src]# chkconfig --add fail2ban
[root@yclee src]# chkconfig fail2ban on
2. 설정하기
[root@yclee src]# vi /etc/fail2ban/jail.conf
ignoreip : 체크 대상에서 제외할 ip를 지정합니다.
bantime : 접근을 거부할 시간을 지정하며, 이 시간이 지나면 거부가 풀리게됩니다.
finditem : 실패횟수를 체크 할 시간 범위를 지정합니다.
maxretry : IP 블럭의 기준이 되는 실패 횟수를 지정합니다.
[ssh-iptables] : ssh 접근을 탐지하여 iptables에 추가하기 위한 설정입니다.
기타 서비스에도 추가를 원한다면 enable값을 "true"로 바꿔주면 됩니다.
3. 실행하기
[root@yclee src]# fail2ban-client start