fail2ban 으로 일정횟수 이상의 접속 실패 IP 차단

4raid.co.kr more

쓰기

fail2ban 으로 일정횟수 이상의 접속 실패 IP 차단

딥러닝서버

2019-08

2019-08-17 12:31:10

fail2ban 으로 일정횟수 이상의 접속 실패 IP 차단

CentOS 7 환경

1. 저정소 추가

# rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

2. 패키지 설치

# yum --enablerepo epel install fail2ban

# systemctl enable fail2ban
# systemctl restart fail2ban

3. 환경 설정

# vi /etc/fail2ban/jail.conf
# 접속 차단 예외 IP
ignoreip = 127.0.0.1/8 192.168.10.0/24
# 접속 차단 시간 default 600초
bantime = 600
# findtime(초) 내에 maxretty 횟수만큼 인증 실패시 차단
findtime = 60
maxretry = 5

4. 별도 설정 파일 ( 별도 파일 생성을 통한 관리)

# vi /etc/fail2ban/jail.local
[DEFAULT]
bantime = 3600
[sshd]
enabled = true

5. 서비스 확인

a. iptables 룰셋 확인

b. 전체 상태

# fail2ban-client status

c. 서비스별 상태

# fail2ban-client status sshd

d. ipset 설정(차단) 확인

# ipset --list

e. fail2ban 로그 확인

awk "($(NF-1) = /Ban/){print $NF}" /var/log/fail2ban.log | sort | uniq -c | sort -n

짧은글 일수록 신중하게.



만년초보 2019-08 유익한 내용 감사합니다. CentOS 에다 fail2ban 사용중이긴 하지만, 초보라 어찌할 줄 모르는 참이었는데, 문의 글 한번 올려봅니다. messages 로그에 보면 아래와 같이 smtp 시도 로그가 잔뜩 쌓이고 있습니다. 소인의 경우 웹서버에서는 웹싸이트만 가동하고, dns 서버는 외부의 웹dns 이용하고, 이메일 서버는 Office365 이메일 smtp를 이용합니다. 그러면 저의 웹서버에서는 웹싸이트에서 생산하여 발송하는 이메일에 대한 발송만 실행하면 되고, 외부의 제 3자 메일을 수신할 필요가 없고 릴레이할 필요도 없는데, 제가 뭐 불필요한 서비스를 실행하고 있는 것일지요? Postfix 는 실행하고 하고, BIND 와 Dovecot IMAP/POP3 는 중지시켜두고 있습니다. fail2ban 을 실행하고 있고, iptables과 host.deny에 모든 외부 IP에 대해서 sshd, ftpd,mysqld 접속 차단해두고 있습니다. Postfix 설정에 뭔가를 해주어야 하는지, fail2ban에 뭔가를 해주어야 하는지 알 수 있으면 좋겠습니다. 뭐든 조언을 좀 해주시면 고맙겠습니다. Aug 18 01:16:48 huso saslauthd[3869]: do_auth : auth failure: [user=foo@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:00 huso saslauthd[3865]: do_auth : auth failure: [user=settle@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:03 huso saslauthd[3868]: do_auth : auth failure: [user=xxxx@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:04 huso saslauthd[3866]: do_auth : auth failure: [user=user] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error] Aug 18 01:17:05 huso saslauthd[3865]: do_auth : auth failure: [user=mold@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:27 huso saslauthd[3867]: do_auth : auth failure: [user=mozart@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:28 huso saslauthd[3868]: do_auth : auth failure: [user=foobar@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:35 huso saslauthd[3865]: do_auth : auth failure: [user=tomsk@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:40 huso saslauthd[3866]: do_auth : auth failure: [user=sonia@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:42 huso saslauthd[3869]: do_auth : auth failure: [user=murray@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:03 huso saslauthd[3865]: do_auth : auth failure: [user=house@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:07 huso saslauthd[3867]: do_auth : auth failure: [user=foobet@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:10 huso saslauthd[3868]: do_auth : auth failure: [user=oshima@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:19 huso saslauthd[3869]: do_auth : auth failure: [user=mall@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:28 huso saslauthd[3866]: do_auth : auth failure: [user=pund@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:41 huso saslauthd[3867]: do_auth : auth failure: [user=rosie@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:46 huso saslauthd[3869]: do_auth : auth failure: [user=overseas@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:55 huso saslauthd[3866]: do_auth : auth failure: [user=foodpolis@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] 유익한 내용 감사합니다. CentOS 에다 fail2ban 사용중이긴 하지만, 초보라 어찌할 줄 모르는 참이었는데, 문의 글 한번 올려봅니다. messages 로그에 보면 아래와 같이 smtp 시도 로그가 잔뜩 쌓이고 있습니다. 소인의 경우 웹서버에서는 웹싸이트만 가동하고, dns 서버는 외부의 웹dns 이용하고, 이메일 서버는 Office365 이메일 smtp를 이용합니다. 그러면 저의 웹서버에서는 웹싸이트에서 생산하여 발송하는 이메일에 대한 발송만 실행하면 되고, 외부의 제 3자 메일을 수신할 필요가 없고 릴레이할 필요도 없는데, 제가 뭐 불필요한 서비스를 실행하고 있는 것일지요? Postfix 는 실행하고 하고, BIND 와 Dovecot IMAP/POP3 는 중지시켜두고 있습니다. fail2ban 을 실행하고 있고, iptables과 host.deny에 모든 외부 IP에 대해서 sshd, ftpd,mysqld 접속 차단해두고 있습니다. Postfix 설정에 뭔가를 해주어야 하는지, fail2ban에 뭔가를 해주어야 하는지 알 수 있으면 좋겠습니다. 뭐든 조언을 좀 해주시면 고맙겠습니다. Aug 18 01:16:48 huso saslauthd[3869]: do_auth : auth failure: [user=foo@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:00 huso saslauthd[3865]: do_auth : auth failure: [user=settle@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:03 huso saslauthd[3868]: do_auth : auth failure: [user=xxxx@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:04 huso saslauthd[3866]: do_auth : auth failure: [user=user] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error] Aug 18 01:17:05 huso saslauthd[3865]: do_auth : auth failure: [user=mold@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:27 huso saslauthd[3867]: do_auth : auth failure: [user=mozart@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:28 huso saslauthd[3868]: do_auth : auth failure: [user=foobar@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:35 huso saslauthd[3865]: do_auth : auth failure: [user=tomsk@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:40 huso saslauthd[3866]: do_auth : auth failure: [user=sonia@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:17:42 huso saslauthd[3869]: do_auth : auth failure: [user=murray@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:03 huso saslauthd[3865]: do_auth : auth failure: [user=house@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:07 huso saslauthd[3867]: do_auth : auth failure: [user=foobet@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:10 huso saslauthd[3868]: do_auth : auth failure: [user=oshima@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:19 huso saslauthd[3869]: do_auth : auth failure: [user=mall@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:28 huso saslauthd[3866]: do_auth : auth failure: [user=pund@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:41 huso saslauthd[3867]: do_auth : auth failure: [user=rosie@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:46 huso saslauthd[3869]: do_auth : auth failure: [user=overseas@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error] Aug 18 01:18:55 huso saslauthd[3866]: do_auth : auth failure: [user=foodpolis@or.kr] [service=smtp] [realm=or.kr] [mech=pam] [reason=PAM auth error]

로그인 하시면 댓글을 남길 수 있습니다

쓰기

PDS

쓰기

26/80

번호	제목Page 26/80	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (750)	정은준1	2014-05	5846792	0
[필독] 처음 오시는 분을 위한 안내 (750) 2014-05 5846792 1 정은준1
	[종료] AI 에이전트를 탑재된 최초의 PDF 편집기 UPDF 체험단 모집 (8)	UPDF	04-15	38246	2
[종료] AI 에이전트를 탑재된 최초의 PDF … (8) 04-15 38246 1 UPDF
1085	Dell T7920 바이오스 2022년 5월	제온프로	2022-05	12227	0
Dell T7920 바이오스 2022년 5월 2022-05 12227 1 제온프로
1084	MSI G41M-P33 개조바이오스 부탁드립니다.	카로카로	2016-03	12247	1
MSI G41M-P33 개조바이오스 부탁드립니다. 2016-03 12247 1 카로카로
1083	Proxmox VE Admin Guide for 7.x (한글번역본) (9)	화정큐삼	2022-05	12249	1
Proxmox VE Admin Guide for 7.x (한글번… (9) 2022-05 12249 1 화정큐삼
1082	윈도우 CD key 보는 프로그램 produkey	소망사랑71	2015-12	12257	0
윈도우 CD key 보는 프로그램 produkey 2015-12 12257 1 소망사랑71
1081	Xiaomi Router 3G v1 공유기 각종 자료. openWRT 포함.	까치산개꿀탱	2021-02	12282	0
Xiaomi Router 3G v1 공유기 각종 자료. o… 2021-02 12282 1 까치산개꿀탱
1080	GIGABYTE SPI Flash BIOS Update Util Ver 0.87 MOD (3)	박문형	2023-12	12298	1
GIGABYTE SPI Flash BIOS Update Util Ve… (3) 2023-12 12298 1 박문형
1079	HPE Proliant SPP 모음 (7)	PCMaster	2022-05	12299	3
HPE Proliant SPP 모음 (7) 2022-05 12299 1 PCMaster
1078	구라제거기... (12)	전직P연구원	2018-06	12300	0
구라제거기... (12) 2018-06 12300 1 전직P연구원
1077	[HPE] DL380 Gen9 Bios	제갈기천	2024-01	12304	1
[HPE] DL380 Gen9 Bios 2024-01 12304 1 제갈기천
1076	엑셀 패스워드xlkeyd	소망사랑71	2015-12	12326	0
엑셀 패스워드xlkeyd 2015-12 12326 1 소망사랑71
1075	cpuz_154	소망사랑71	2015-12	12370	1
cpuz_154 2015-12 12370 1 소망사랑71
1074	심심 하신분들 보세요... (3)	황진우	2018-10	12371	0
심심 하신분들 보세요... (3) 2018-10 12371 1 황진우
1073	M72e Tiny 정식 지원되는 CPU (1)	이종현oph	2018-06	12413	0
M72e Tiny 정식 지원되는 CPU (1) 2018-06 12413 1 이종현oph
1072	nLite-1.4.9.1.installer	소망사랑71	2015-12	12427	0
nLite-1.4.9.1.installer 2015-12 12427 1 소망사랑71
1071	HP G5 워크스테이션 시리즈 느려지는 문제 해결 방법~~~ (5)	김가피시	2024-01	12452	0
HP G5 워크스테이션 시리즈 느려지는 문제… (5) 2024-01 12452 1 김가피시
1070	Samsung M.2 NVME Windows 7 x64 Driver (4)	박수홍84포항	2017-07	12511	5
Samsung M.2 NVME Windows 7 x64 Driver (4) 2017-07 12511 1 박수홍84포항
1069	시큐어 게이트 RT2024 매뉴얼입니다. (1)	성기사	2017-06	12524	3
시큐어 게이트 RT2024 매뉴얼입니다. (1) 2017-06 12524 1 성기사
1068	Dell 렉 레일 호환표	김장우	2022-05	12544	0
Dell 렉 레일 호환표 2022-05 12544 1 김장우
1067	무료 Oracle SQL Tool (2)	소망사랑71	2015-12	12548	0
무료 Oracle SQL Tool (2) 2015-12 12548 1 소망사랑71
1066	LSI SAS 3081 및 3041e XP 드라이버	the촌놈	2017-10	12556	0
LSI SAS 3081 및 3041e XP 드라이버 2017-10 12556 1 the촌놈