fail2ban-0.8.1 - 設定編
 2007.10.27

fail2ban-0.8.1 - 解説編の続き. ここから実際の設定についてです. 最初は[DEFAULT]セクションです.コメント・空行を除くと以下のようになってるはずです.
[DEFAULT]
ignoreip = 127.0.0.1
bantime  = 600
findtime  = 600
maxretry = 3
backend = auto
* ignoreip : 不正アクセスとして扱わないアクセス元を指定します.IPアドレス・CIDRマスク・ホスト名が書けます.複数のアクセス元を指定するときは空白で区切って列挙します. * bantime : 不正アクセスと認めたときに,アクセスを何秒間遮断するか指定します. * findtime, maxretry : findtime秒間のうちにfilterで指定されたパターンにマッチするログがmaxretry回出現すれば不正アクセスとみなす. * backend : ログの監視方法の指定.一定間隔ごとにlogを監視するpolling,もしくはGaminというファイルの変化を通知するデーモンを使う方法.通常はautoで良いと思います. これらのパラメタ値は結局jail毎に個別に設定したほうが使いやすいと思います.よって[DEFAULT]セクションは弄らない.    *  *  * 次に,jailの設定.あらかじめjail.confに幾つかjailが設定されているはず.それを例に説明します.
[ssh-iptables]
enabled  = false
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           mail-whois[name=SSH, dest=yourmail@mail.com]
logpath  = /var/log/secure
maxretry = 5
* enabled : 当該jailの監視を有効にする(true)か無効にする(false).jailの定義があっても enabled = false ならばfail2banはそのjailに関して何もしない. * filter : /etc/fail2ban/filter.d の下にある設定ファイルを指定する.filter.d以下のファイルでは,ログパターンを決定する正規表現を含む.filter = sshd の場合は /etc/fail2ban/filter.d/sshd.conf * action : 不正アクセスとみなした時にfail2banが実行する処理を指定する.例に挙げた iptables, mail-whois はそれぞれ /etc/fail2ban/action.d/{iptables, mail-whois}を指定している.action名の後ろの``[ ]''の中身はactionのパラメタである.例えば /etc/fail2ban/action.d/mail-whois には以下のくだりがある.
actionstart = echo -en "Hi,n
              The jail <name> has been started successfuly.n
              Regards,n
              Fail2Ban"|mail -s "[Fail2Ban] <name>: started" <dest>
actionの解釈時に <name>は SSH に,<dest>は yourmail@mail.com に置換される. * logpath : 監視対象のログファイルのパス.CentOSの場合はsshdのログは /var/log/secure になってる. * bantime, findtime, maxretry等をセクション内に記述することでjail毎に独自の値を使える /etc/fail2ban/filter.d の下には代表的なログのパターンが既に定義されてあるのでこれを有効に使いたい.独自のfilterを定義するときもこれらが参考になるでしょう. /etc/fail2ban/action.d の下には多くの場合に十分なactionがそろっていると思う.インストール時に依存関係を無視したshorewallはactionの中の一つとして使われているので,shorewallを利用するactionはshowreallが必須です. 関連リンク 1. fail2ban-0.8.1 - インストール編 2. fail2ban-0.8.1 - 解説編 3. fail2ban-0.8.1 - 設定編 4. fail2ban-0.8.2 Python2.3対応 2008/3/6追記: 0.8.2の記事を書いたので、関連リンク4番を増やした。
カテゴリー:技術情報メモ