CentOS에서 Fail2Ban을 설정하는 방법

• Fail2Ban 소개
• Fail2Ban 설치
• Fail2Ban 설정 구성
• SSH를 보호하도록 Fail2Ban 구성
• Fail2Ban 서비스 시작
• 실패한 로그인 시도를 추적하는 방법

Fail2Ban 소개

기본적으로 클라이언트는 포트 22를 사용하여 SSH에 연결합니다.이 포트는 잘 알려진 포트이므로 기본 구성은 많은 무차별 대입 공격에 취약합니다. Fail2Ban은 이러한 공격으로부터 서버를 자동으로 보호하는 솔루션입니다. 이 프로그램은 백그라운드에서 실행되고 로그 파일을 스캔하여 공격중인 IP를 감지하고 자동으로 SSH 액세스를 금지합니다.

Fail2Ban 설치

이 자습서에서는 EPEL 리포지토리를 통해 CentOS 6에 Fail2Ban을 설치합니다. 다음 명령을 실행하십시오.

yum install epel-release
yum install fail2ban

설명

• yum install epel-release: EPEL 저장소 (Enterprise Linux 용 추가 패키지)를 설치합니다.
• yum install fail2ban: EPEL 저장소에서 Fail2Ban을 설치합니다.

Fail2Ban 설정 구성

Fail2Ban 구성 파일을여십시오.

nano /etc/fail2ban/jail.conf

파일에는 아래와 같이 일부 매개 변수가 표시됩니다. 필요에 따라 값을 조정하십시오.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1

# "bantime" is the number of seconds that a host is banned.
bantime = 600

# A host is banned if it has generated "maxretry" during the last "findtime"
# seconds.
findtime = 600

# "maxretry" is the number of failures before a host get banned.
maxretry = 3

설명

• ignoreip:이 목록의 주소와 일치하는 호스트를 금지하지 마십시오. 공백 구분 기호를 사용하여 여러 주소를 정의 할 수 있습니다. 이 줄에 개인 IP를 작성하십시오.
• bantime: 호스트가 금지 된 시간 (초)입니다.
• findtime: 호스트가 maxretry마지막 동안 생성 된 경우 금지됩니다 findtime.
• maxretry: 호스트가 금지되기 전의 실패 횟수.

SSH를 보호하도록 Fail2Ban 구성

먼저 구성 파일을 만들어야합니다.

nano /etc/fail2ban/jail.local

아래 줄을 복사하여 파일에 붙여 넣습니다.

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
#           sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com]
logpath  = /var/log/secure
maxretry = 5

• enabled: 보호를 활성화합니다. 끄려면 값을 false로 변경하십시오.
• filter: 기본적으로 파일을 참조하는 sshd로 설정되어 있습니다 /etc/fail2ban/filter.d/sshd.conf.
• action: Fail2Ban은 필터와 일치하는 IP를 금지합니다 /etc/fail2ban/action.d/iptables.conf. 이전에 SSH 포트를 변경 port=ssh한 경우 새 포트로 변경 하십시오 (예 :) port=2222. 포트 22를 사용하는 경우 값을 변경할 필요가 없습니다.
• logpath: Fail2Ban에서 사용하는 로그 파일의 경로입니다.
• maxretry: 최대 로그인 실패 횟수입니다.

Fail2Ban 서비스 시작

Fail2Ban 서비스를 시작하려면 아래 두 명령을 실행하십시오.

chkconfig --level 23 fail2ban on
service fail2ban start

마지막으로 iptablesFail2Ban에 의해 추가 된 규칙이 있는지 확인 하십시오.

iptables -L

결과는이 출력과 유사합니다.

Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-SSH tcp -- anywhere anywhere tcp dpt:EtherNet/IP-1

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain f2b-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere

실패한 로그인 시도를 추적하는 방법

이 명령을 사용하여 서버가 로그인 시도에 실패했는지 확인할 수 있습니다 (가능한 공격).

cat /var/log/secure | grep 'Failed password'

결과는이 줄과 유사하게 나타납니다.

Dec  6 22:47:12 vultr sshd[7942]: Failed password for root from 43.229.53.67 port 23021 ssh2
Dec  6 22:47:15 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:16 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:18 vultr sshd[7944]: Failed password for root from 43.229.53.67 port 40996 ssh2
Dec  6 22:47:31 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:34 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:36 vultr sshd[7948]: Failed password for root from 43.229.53.67 port 29907 ssh2
Dec  6 22:47:39 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:41 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:43 vultr sshd[7950]: Failed password for root from 43.229.53.67 port 48386 ssh2
Dec  6 22:47:47 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2
Dec  6 22:47:49 vultr sshd[7952]: Failed password for root from 43.229.53.67 port 62846 ssh2

금지 된 IP를 보려면 다음 명령을 사용하십시오.

iptables -L -n

금지 목록에서 IP 주소를 삭제하려면 다음 명령을 실행하십시오. banned_ip차단을 해제하려는 IP로 변경하십시오 .

iptables -D f2b-SSH -s banned_ip -j DROP