【CentOS】SSHの不正アクセスをBANするFail2banの設定
SSHからの不正アクセスを監視するFail2banの設定手順になります。
ほぼ海外からの総当たり攻撃なので、随時SSHの接続ログを確認して不正アクセスがないか確認しましょう。
※あまりにも多い場合、契約した先に確認し報告することをおすすめします。
不正アクセスがないかログから確認
less /var/log/secure
Fail2banのインストールと設定手順
yum install fail2ban
vi /etc/fail2ban/fail2ban.local
[Definition]
loglevel = NOTICE
vi /etc/fail2ban/jail.local
[DEFAULT] # 1時間以内に5回不審なアクセスがあったら1日BAN bantime = 86400 findtime = 3600 maxretry = 5 #CentOS7の場合systemd backend = systemd # SSHのアクセスに対する設定 [sshd] enabled = true banaction = firewallcmd-ipset
攻撃側にエラーメッセージを返さないように
vi /etc/fail2ban/action.d/iptables-common.conf
blocktype = DROP
fail2ban起動と確認コマンド
# 起動コマンド systemctl start fail2ban # 停止コマンド systemctl stop fail2ban # 自動起動を有効 systemctl enable fail2ban # 自動起動の確認 systemctl is-enabled fail2ban #現在のBAN状況 fail2ban-client status sshd