Kagoya VPS の Ubuntu 20.04 で、ssh への攻撃が多数あり、色々試させない為にfail2banをインストール
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
root@irc:~# apt install fail2ban パッケージリストを読み込んでいます... 完了 依存関係ツリーを作成しています 状態情報を読み取っています... 完了 以下の追加パッケージがインストールされます: python3-pyinotify whois 提案パッケージ: mailx monit sqlite3 python-pyinotify-doc 以下のパッケージが新たにインストールされます: fail2ban python3-pyinotify whois アップグレード: 0 個、新規インストール: 3 個、削除: 0 個、保留: 1 個。 444 kB のアーカイブを取得する必要があります。 この操作後に追加で 2,400 kB のディスク容量が消費されます。 続行しますか? [Y/n] |
情報源: 【Ubuntu Desktop 20.04】Fail2Banをインストールする – Crieit
情報源によると、既定で sshd は有効となっているそうで、特に何もしなくても良さそう。
|
1 2 3 4 5 6 7 8 9 10 |
root@irc:/etc/fail2ban# fail2ban-client status sshd Status for the jail: sshd |- Filter | |- Currently failed: 0 | |- Total failed: 0 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 0 |- Total banned: 0 `- Banned IP list: |
しかし、待てど暮せど中々 Ban してくれない。
これは私も経験済みです。jail.local(jail.conf)の設定は「backend = auto」で良いよとされてはいるのですが、起動時のログを見ると backend が “pyinotify” に設定されてしまいます。
情報源: fail2banをうまく動かすためのTips。正規表現はシンプルに見やすく – のめうブログ
/var/log/fail2ban.log を見てみると、
|
1 |
2021-10-23 15:33:56,022 fail2ban.jail [4794]: INFO Initiated 'pyinotify' backend |
pyinotify って知らんけど、backend の動作モードが違っててワロタ。
|
1 |
root@irc:/etc/fail2ban# vi jail.local |
|
1 2 |
[DEFAULT] backend = polling |
新規ファイルを作成して、動作モードを polling にして、設定を再読込。
|
1 |
root@irc:/etc/fail2ban# systemctl reload fail2ban |
|
1 |
2021-10-23 16:19:28,642 fail2ban.jail [4794]: INFO Initiated 'polling' backend |
無事、polling モードで動作するようになった。