추적:

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판이전 판
다음 판		이전 판
tech:fail2ban [2019/05/23 02:09] V_Ltech:fail2ban [2021/10/10 13:44] (현재) 162.158.5.191
줄 1: 줄 1:
 {{tag>fail2ban}} {{tag>fail2ban}}
 ====== Fail2ban ====== ====== Fail2ban ======
-[[tech:ssh_bruteforce_attack|무작위로 로그인]]을 시도할 경우 해당 IP 를 커널 방화벽에 등록하여 원천적으로 차단해 주는 제품으로 SSH 를 공용으로 열어야 하는 경우 보안 강화를 위해 꼭 설치하는 것을 권장함.+[[tech:ssh_bruteforce_attack|무작위로 로그인]]을 시도할 경우 해당 IP 를 커널 방화벽에 등록하여 원천적으로 차단해준다. [[SSH]] 를 공용으로 열어야 하는 경우 보안 강화를 위해 꼭 설치하는 것을 권장함.
 =====설치===== =====설치=====
  
-    sudo apt-get install fail2ban+    sudo apt install fail2ban
  
 =====설정===== =====설정=====
줄 17: 줄 17:
 ignoreip 에 설정된 IP 는 로그인을 **실패해도 차단하지 않으며** 기본 설정은 localhost 임. IP를 추가할 경우 jail.local 파일 의 [DEFAULT] 항목에 기술해 주면 되며 여러개를 기술할 경우 공백이나 , 로 구분해 주면 되며 아래는 로컬호스트와 192.168.0.x 대역은 차단하지 않는 설정임. ignoreip 에 설정된 IP 는 로그인을 **실패해도 차단하지 않으며** 기본 설정은 localhost 임. IP를 추가할 경우 jail.local 파일 의 [DEFAULT] 항목에 기술해 주면 되며 여러개를 기술할 경우 공백이나 , 로 구분해 주면 되며 아래는 로컬호스트와 192.168.0.x 대역은 차단하지 않는 설정임.
  
-ignoreip = 127.0.0.1/8 192.168.0.0/24+  ignoreip = 127.0.0.1/8 192.168.0.0/24
  
 ====bantime==== ====bantime====
줄 30: 줄 30:
  
 즉 위 설정은 600초(10분) 내에 5번을 인증 실패할 경우 bantime 만큼 차단함. 즉 위 설정은 600초(10분) 내에 5번을 인증 실패할 경우 bantime 만큼 차단함.
 +=====재시작=====
 +   sudo service fail2ban restart
 +
 +  
 +=====확인=====
 +
 +차단된 정보는 다음 명령어로 확인한다.
 +
 +  sudo fail2ban-client status sshd
 +
 +
 +<file>
 +sudo fail2ban-client status sshd
 +Status for the jail: sshd
 +|- Filter
 +|  |- Currently failed: 8
 +|  |- Total failed:     148
 +|  `- File list:        /var/log/auth.log
 +`- Actions
 +   |- Currently banned: 4
 +   |- Total banned:     20
 +   `- Banned IP list:   190.129.69.146 23.30.117.166 131.0.8.49 119.4.40.105
 +</file>
 +
 +벌써 차단된  IP 가  있다.
 +
  
 =====로그===== =====로그=====
 동작 로그는 /var/log/fail2ban.log 에 기록 동작 로그는 /var/log/fail2ban.log 에 기록