ログイン
編集不可のページディスカッション情報添付ファイル
"ytoku/daily-record/2011-02-05"の差分

MMA
1と2のリビジョン間の差分
2011-02-05 05:55:40時点のリビジョン1
サイズ: 1273
編集者: ytoku
コメント:
2011-02-06 13:56:09時点のリビジョン2
サイズ: 1422
編集者: ytoku
コメント:
削除された箇所はこのように表示されます。 追加された箇所はこのように表示されます。
行 2: 行 2:
SSHへの攻撃ログがあまりにも長すぎて読む気が起きないのでfail2banを設定してログの削減を図った。 SSHへの攻撃ログがあまりにも長すぎて読む気が起きないのでfail2banを設定してログの削減を図った<<FootNote(本当はポート番号を変えた方がもっと効果があると思われるがコンセンサスを得るまでの応急処置)>>。

fail2ban on FreeBSD with pf

SSHへの攻撃ログがあまりにも長すぎて読む気が起きないのでfail2banを設定してログの削減を図った1

fail2banとファイルの更新を検知するgaminライブラリをインストールした。

$ sudo portmaster -P devel/py-gamin security/py-fail2ban

/var/run/fail2banディレクトリが存在せずに起動に失敗するので作成。

$ sudo mkdir /var/run/fail2ban

http://www.fail2ban.org/wiki/index.php/Talk:Features#Support_for_BSD_ip_or_pf を参考にpf用のアクションを/usr/local/etc/fail2ban/action.d/に追加した。さらにpfの設定が必要なので次の設定を行った。

table <fail2ban> persist
ban_ports = "{ssh}"

block in quick on $ext_if proto {tcp udp} from <fail2ban> to port $ban_ports

そして/usr/local/etc/fail2ban/jail.confにルールを追加した。

[ssh-pf]
enabled  = true
filter   = sshd
action   = pf
logpath  = /var/log/auth.log

最後にrc.confに自動的に起動するように設定して

fail2ban_enable="YES"

起動

$ sudo fail2ban start

ところで操作はfail2ban-clientコマンドをrootで実行すると行うことが出来る。

  1. 本当はポート番号を変えた方がもっと効果があると思われるがコンセンサスを得るまでの応急処置。 (1)

ytoku/daily-record/2011-02-05 (最終更新日時 2011-02-06 13:56:09 更新者 ytoku)