fail2ban 으로 일정횟수 이상의 접속 실패 IP 차단

QnA more

검색 목록

쓰기

fail2ban 으로 일정횟수 이상의 접속 실패 IP 차단

딥러닝서버

2019-08

2019-08-17 12:31:10

fail2ban 1004;/196; 1068;1221;횟수 1060;상1032; 1217;속 실패 IP 차단

CentOS 7 환ᅆ1;

1. 1200;1221;소 추가 

# rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

2. 패Ȗ12;1648; 설치

# yum --enablerepo epel install fail2ban

# systemctl enable fail2ban
# systemctl restart fail2ban

3. 환ᅆ1; 설1221;

# vi /etc/fail2ban/jail.conf
# 1217;속 차단 예외 IP
ignoreip = 127.0.0.1/8 192.168.10.0/24
# 1217;속 차단 시간 default 600초
bantime = 600
# findtime(초) 내에 maxretty 횟수만큼 1064;1613; 실패시 차단
findtime = 60
maxretry = 5

4. 별도 설1221; 파1068; ( 별도 파1068; 생성1012; 통한 관리)

# vi /etc/fail2ban/jail.local 
[DEFAULT]
bantime = 3600
[sshd]
enabled = true

5. 서비스 확1064;

a. iptables 룰셋 확1064;

b. 1204;체 상태

# fail2ban-client status

c. 서비스별 상태

# fail2ban-client status sshd

d. ipset 설1221;(차단) 확1064;

# ipset --list

e. fail2ban /196;그 확1064;

awk "($(NF-1) = /Ban/){print $NF}" /var/log/fail2ban.log | sort | uniq -c | sort -n

https://www.aiocp.co.kr/ ( 딥러닝,머신러닝 서버 판매 ,컨설팅) https://bigbangcloud.co.kr/ ( GPU 클라우드 서비스) ::: AI 서버의 모든것 ::: 인공지능의 시작~ (주)이호스트ICT

짧은글 일수록 신중하게.



만년초보 2019-08 유익한 내용 감사합니다. CentOS 에다 fail2ban 사용중이긴 하지만, 초보라 어찌할 줄 모르는 참이었는데, 문의 글 한번 올려봅니다. messages 로그에 보면 아래와 같이 smtp 시도 로그가 잔뜩 쌓이고 있습니다. 소인의 경우 웹서버에서는 웹싸이트만 가동하고, dns 서버는 외부의 웹dns 이용하고, 이메일 서버는 Office365 이메일 smtp를 이용합니다. 그러면 저의 웹서버에서는 웹싸이트에서 생산하여 발송하는 이메일에 대한 발송만 실행하면 되고, 외부의 제 3자 메일을 수신할 필요가 없고 릴레이할 필요도 없는데, 제가 뭐 불필요한 서비스를 실행하고 있는 것일지요? Postfix 는 실행하고 하고, BIND 와 Dovecot IMAP/POP3 는 중지시켜두고 있습니다. fail2ban 을 실행하고 있고, iptables과 host.deny에 모든 외부 IP에 대해서 sshd, ftpd,mysqld 접속 차단해두고 있습니다. Postfix 설정에 뭔가를 해주어야 하는지, fail2ban에 뭔가를 해주어야 하는지 알 수 있으면 좋겠습니다. 뭐든 조언을 좀 해주시면 고맙겠습니다. Aug 18 01:16:48 huso saslauthd[3869]: do_auth : auth failure: [user=foo@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:00 huso saslauthd[3865]: do_auth : auth failure: [user=settle@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:03 huso saslauthd[3868]: do_auth : auth failure: [user=xxxx@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:04 huso saslauthd[3866]: do_auth : auth failure: [user=user] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error] Aug 18 01:17:05 huso saslauthd[3865]: do_auth : auth failure: [user=mold@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:27 huso saslauthd[3867]: do_auth : auth failure: [user=mozart@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:28 huso saslauthd[3868]: do_auth : auth failure: [user=foobar@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:35 huso saslauthd[3865]: do_auth : auth failure: [user=tomsk@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:40 huso saslauthd[3866]: do_auth : auth failure: [user=sonia@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:42 huso saslauthd[3869]: do_auth : auth failure: [user=murray@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:03 huso saslauthd[3865]: do_auth : auth failure: [user=house@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:07 huso saslauthd[3867]: do_auth : auth failure: [user=foobet@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:10 huso saslauthd[3868]: do_auth : auth failure: [user=oshima@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:19 huso saslauthd[3869]: do_auth : auth failure: [user=mall@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:28 huso saslauthd[3866]: do_auth : auth failure: [user=pund@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:41 huso saslauthd[3867]: do_auth : auth failure: [user=rosie@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:46 huso saslauthd[3869]: do_auth : auth failure: [user=overseas@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:55 huso saslauthd[3866]: do_auth : auth failure: [user=foodpolis@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] 유익한 내용 감사합니다. CentOS 에다 fail2ban 사용중이긴 하지만, 초보라 어찌할 줄 모르는 참이었는데, 문의 글 한번 올려봅니다. messages 로그에 보면 아래와 같이 smtp 시도 로그가 잔뜩 쌓이고 있습니다. 소인의 경우 웹서버에서는 웹싸이트만 가동하고, dns 서버는 외부의 웹dns 이용하고, 이메일 서버는 Office365 이메일 smtp를 이용합니다. 그러면 저의 웹서버에서는 웹싸이트에서 생산하여 발송하는 이메일에 대한 발송만 실행하면 되고, 외부의 제 3자 메일을 수신할 필요가 없고 릴레이할 필요도 없는데, 제가 뭐 불필요한 서비스를 실행하고 있는 것일지요? Postfix 는 실행하고 하고, BIND 와 Dovecot IMAP/POP3 는 중지시켜두고 있습니다. fail2ban 을 실행하고 있고, iptables과 host.deny에 모든 외부 IP에 대해서 sshd, ftpd,mysqld 접속 차단해두고 있습니다. Postfix 설정에 뭔가를 해주어야 하는지, fail2ban에 뭔가를 해주어야 하는지 알 수 있으면 좋겠습니다. 뭐든 조언을 좀 해주시면 고맙겠습니다. Aug 18 01:16:48 huso saslauthd[3869]: do_auth : auth failure: [user=foo@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:00 huso saslauthd[3865]: do_auth : auth failure: [user=settle@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:03 huso saslauthd[3868]: do_auth : auth failure: [user=xxxx@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:04 huso saslauthd[3866]: do_auth : auth failure: [user=user] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error] Aug 18 01:17:05 huso saslauthd[3865]: do_auth : auth failure: [user=mold@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:27 huso saslauthd[3867]: do_auth : auth failure: [user=mozart@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:28 huso saslauthd[3868]: do_auth : auth failure: [user=foobar@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:35 huso saslauthd[3865]: do_auth : auth failure: [user=tomsk@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:40 huso saslauthd[3866]: do_auth : auth failure: [user=sonia@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:42 huso saslauthd[3869]: do_auth : auth failure: [user=murray@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:03 huso saslauthd[3865]: do_auth : auth failure: [user=house@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:07 huso saslauthd[3867]: do_auth : auth failure: [user=foobet@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:10 huso saslauthd[3868]: do_auth : auth failure: [user=oshima@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:19 huso saslauthd[3869]: do_auth : auth failure: [user=mall@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:28 huso saslauthd[3866]: do_auth : auth failure: [user=pund@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:41 huso saslauthd[3867]: do_auth : auth failure: [user=rosie@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:46 huso saslauthd[3869]: do_auth : auth failure: [user=overseas@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:55 huso saslauthd[3866]: do_auth : auth failure: [user=foodpolis@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]

로그인 하시면 댓글을 남길 수 있습니다

검색 목록

쓰기

PDS

쓰기

20/54

번호	제목Page 20/54	글쓴이	날짜	조회	추천
689	[Linux] CentOS 7 C 클래스 IP 대역 전체 설정2018.08.01	딥러닝서버	2019-08	5773	0
[Linux] CentOS 7 C 클래스 IP 대역 전체 … 2019-08 5773 1 딥러닝서버
688	[Linux] mydumper : mysql 오픈소스 thread 백업 유틸리티	딥러닝서버	2019-08	5736	0
[Linux] mydumper : mysql 오픈소스 threa… 2019-08 5736 1 딥러닝서버
687	ASUS B150M-A M.2 커피레이크 지원 바이오스 (2)	이선호	2019-08	7216	1
ASUS B150M-A M.2 커피레이크 지원 바이오스 (2) 2019-08 7216 1 이선호
686	tomcat 서비스 80 포트로 서비스하기 (3)	딥러닝서버	2019-08	11689	0
tomcat 서비스 80 포트로 서비스하기 (3) 2019-08 11689 1 딥러닝서버
685	다이조아표 유심공유기 메뉴얼	임시현	2019-08	4537	0
다이조아표 유심공유기 메뉴얼 2019-08 4537 1 임시현
684	LVM 구성 및 옵션	딥러닝서버	2019-08	5057	0
LVM 구성 및 옵션 2019-08 5057 1 딥러닝서버
683	리눅스 lsync 와 cp 를 이용한 증분 백업 (1)	딥러닝서버	2019-08	5752	0
리눅스 lsync 와 cp 를 이용한 증분 백업 (1) 2019-08 5752 1 딥러닝서버
682	fail2ban 으로 일정횟수 이상의 접속 실패 IP 차단 (1)	딥러닝서버	2019-08	6844	1
fail2ban 으로 일정횟수 이상의 접… (1) 2019-08 6844 1 딥러닝서버
681	rpm 주요 command	딥러닝서버	2019-08	4694	0
rpm 주요 command 2019-08 4694 1 딥러닝서버
680	TCP dump 옵션 정리 (3)	딥러닝서버	2019-08	9613	0
TCP dump 옵션 정리 (3) 2019-08 9613 1 딥러닝서버
679	emulex hba drv	삐돌이슬픔이	2019-08	4530	0
emulex hba drv 2019-08 4530 1 삐돌이슬픔이
678	리눅스 에러코드	딥러닝서버	2019-08	8927	0
리눅스 에러코드 2019-08 8927 1 딥러닝서버
677	Syn Flooding 디도스 공격에 대하여 가볍게 랜카드를 disable 하면서 체크하는 스크… (5)	허인구마틴	2019-08	4569	0
Syn Flooding 디도스 공격에 대하여 가볍… (5) 2019-08 4569 1 허인구마틴
676	Syn Flooding 디도스 공격을 루프로 반복적으로 확인하는 것입니다. (1)	허인구마틴	2019-08	3971	0
Syn Flooding 디도스 공격을 루프로 반복… (1) 2019-08 3971 1 허인구마틴
675	Syn Flooding 디도스 공격에 대한 리눅스 syn_recv 체크 스크립트 (1)	허인구마틴	2019-08	5446	0
Syn Flooding 디도스 공격에 대한 리눅스 … (1) 2019-08 5446 1 허인구마틴
674	[Linux] 서버간 시간 동기화 chrony	딥러닝서버	2019-08	8739	0
[Linux] 서버간 시간 동기화 chrony 2019-08 8739 1 딥러닝서버
673	웹 서버 부하 분산 구성시 세션 공유에 대한 이슈 (2)	딥러닝서버	2019-08	5723	0
웹 서버 부하 분산 구성시 세션 공유에 대… (2) 2019-08 5723 1 딥러닝서버
672	vsftp 서버의 vsftpd.conf 설정 파일 (3)	딥러닝서버	2019-08	5130	0
vsftp 서버의 vsftpd.conf 설정 파일 (3) 2019-08 5130 1 딥러닝서버
671	Linux UUID 확인 및 변경	딥러닝서버	2019-08	13382	1
Linux UUID 확인 및 변경 2019-08 13382 1 딥러닝서버
670	리눅스 vi 편집기 사용법 (1)	딥러닝서버	2019-08	6041	0
리눅스 vi 편집기 사용법 (1) 2019-08 6041 1 딥러닝서버