fail2banで何度BANしてもしつこくアタックをしてくるグローバルIPをより長時間BANするには、デフォルトで用意されいる「recidive」というJailルールを有効にすることで対応が可能だ。 設定は簡単で、大体のルール(BANとするfindtimeやbantime)は「/etc/fail2ban/jail.conf」の「[recidive]」に記述されているので、あとはルールを有効にしてやればよい。
以下のコマンドを実行し、jail.localに設定を追記する。
前回CentOS 7上でfail2banのインストール・設定を行ったが、アタックを検知して対象のIPアドレスをBANした際、メールではなくSlackに通知させることもできるようだ。 まず、事前にSlackのWebHookを作成しておく必要がある。
次に、actionとしてslackへのポストが行えるよう、設定ファイルを作成する。
/etc/fail2ban/action.d/slack.conf[Definition] actionban = curl -X POST --data-urlencode 'payload={"channel": "#test", "use...
インターネット上にサーバを公開していると、sshやhttpdへDDoS攻撃やディレクトリトラサーバル攻撃を公開しているページすべてに行うようになツールを投げられたり、乗っ取りしようとして来たりといろいろと攻撃されることが多い。 DDoSやらツールでの攻撃を受けると大量のパケットやリクエストが飛んできてサーバへの負荷が重く、サービスの継続にも支障が出たりする。 そんな時は、攻撃してきているグローバルIPからの接続をファイアウォールなどでしばらく拒否してやるといった対応が必要になる。
そういったことをするためのツールがこのfail2banだ。 結構有名なツールだし、LPIC(303かな?2...
