http://www.fail2ban.org/wiki/index.php/Main_Page
ssh へのブルートフォース攻撃を防ぐため,
Fail2ban を試してみました.
Fail2ban のサイトから fail2ban-0..6.2jik.src.rpm をダウンロードして
rebuild & install し,/etc/init.d/fail2ban を起動.
すると,/var/log/fail2ban.log に以下のようなログがでて動作しません.
2008-09-12 14:50:21,210 ERROR: time data did not match format: data=Sep 12 14:40:10 fmt=%b %d %H:%M:%S 2008-09-12 14:50:21,210 ERROR: Please check the format and your locale settings.
で,検索.
- Nabble - debian-bugs-dist - Bug#363391: fail2ban: time data did not match format
http://www.nabble.com/Bug-363391:-fail2ban:-time-data-did-not-match-format-td5625171.html
によると,/etc/init.d/fail2ban に
export LC_ALL=C
を追記しろということなので,追記して再起動したところ,
上記のようなエラーはでなくなりました.
次に動作確認.
外部から slogin し,わざとパスワードを間違えてみる.
fail2ban はデフォルトで 5 回パスワードを間違えると,
アクセスを禁止します.
1 回のログインで 3 回パスワードを入力することができるので,
2 回目のログイン試行でアクセスが禁止されることになります.
この時,/var/log/fail2ban.log は以下のようになrims.
2008-09-12 14:51:48,505 WARNING: SSH: Ban (600 s) 10.1.0.1 2008-09-12 15:01:48,603 WARNING: SSH: Unban 10.1.0.1
デフォルトでのアクセス禁止時間は 10 分.
- Main Page - Fail2ban
http://www.fail2ban.org/wiki/index.php/Main_Page
(追記)
ダウンロードページの RedHat/Fedora には 0.6.1 までのパッケージしかなかったが,ソースは 0.8.3 まで出ている.
0.8 系は shorewall が必要な模様.
- Shoreline Firewall (Shorewall)
http://www.shorewall.net/
0.8.1 でのログは以下のようになる.
2008-09-12 16:04:57,613 fail2ban.actions: WARNING [ssh-iptables] Ban 10.1.0.1 2008-09-12 16:14:58,063 fail2ban.actions: WARNING [ssh-iptables] Unban 10.1.0.1
(追記)
バージョンによっては,デフォルトで各種設定が無効になっているみたい.
/etc/fail2ban/jail.conf で有効・無効の切り替えができるので,
適切に切り替えて restart.