서버에 fail2ban 설치 및 셋팅

최근 ssh 접속시

There were 4966 failed login attempts since the last successful login. 

요따위 메세지가 자주 뜬다.

구글링 검색해보니 역시 방법이....

일단 yum으로 fail2ban 설치해주고

#  vi /etc/fail2ban/jail.d/local.conf 파일 만들어 주고

# server fail2ban start 실행후

# fail2ban-client status sshd 확인해보니

Status for the jail: sshd
|- Filter
|  |- Currently failed: 25
|  |- Total failed:     97
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 2
   |- Total banned:     2
   `- Banned IP list:   222.186.30.218 218.92.0.192

몇초만에 ban당하는 ip들이 보인다.

일단 안심하고 ssh 포트를 변경해야지~

local.conf 파일은 구글링해서 만듬 밑에 참고

 

[DEFAULT]

## 차단하지 않을 IP

ignoreip = 127.0.0.1/8 192.168.10.0/24

 

# 3시간 차단

bantime  = 10800

 

# 아래 시간동안 amxretry 만큼 실패시 차단

findtime  = 300

 

# 최대 허용 횟수

maxretry = 5

 

# 메일 수신자, 다중 수신자는 지원 안 함

destemail = sysadmin@example.com

 

# 메일 보낸 사람

sender = fail2ban@my-server.com

 

# 메일 전송 프로그램

mta = sendmail

 

# 차단시 whois 정보와 관련 로그를 첨부하여 메일 전송

action = %(action_mwl)s

 

# sshd 서비스 차단

[sshd]

enabled = true

port     = ssh, 10022