Login
Immutable PageDiscussionInfoAttachments

Please use a more selective search term instead of ""

Clear message
ytoku/daily-record/2011-02-05

MMA

fail2ban on FreeBSD with pf

SSHへの攻撃ログがあまりにも長すぎて読む気が起きないのでfail2banを設定してログの削減を図った1

fail2banとファイルの更新を検知するgaminライブラリをインストールした。

$ sudo portmaster -P devel/py-gamin security/py-fail2ban

/var/run/fail2banディレクトリが存在せずに起動に失敗するので作成。

$ sudo mkdir /var/run/fail2ban

http://www.fail2ban.org/wiki/index.php/Talk:Features#Support_for_BSD_ip_or_pf を参考にpf用のアクションを/usr/local/etc/fail2ban/action.d/に追加した。さらにpfの設定が必要なので次の設定を行った。

table <fail2ban> persist
ban_ports = "{ssh}"

block in quick on $ext_if proto {tcp udp} from <fail2ban> to port $ban_ports

そして/usr/local/etc/fail2ban/jail.confにルールを追加した。

[ssh-pf]
enabled  = true
filter   = sshd
action   = pf
logpath  = /var/log/auth.log

最後にrc.confに自動的に起動するように設定して

fail2ban_enable="YES"

起動

$ sudo fail2ban start

ところで操作はfail2ban-clientコマンドをrootで実行すると行うことが出来る。

  1. 本当はポート番号を変えた方がもっと効果があると思われるがコンセンサスを得るまでの応急処置。 (1)