■
まったく話は変わるけど、鯖缶の皆様は不要なアクセスいかがお過ごしていますか?
iptables?不要デーモン停止?
わいはこれ一本。<だけじゃないけどね。鍵認証やら、不要サービス停止やら、変なポートは閉じたりとか。でもいろいろ閉じると不便だし(と社内から声が)>
- fail2ban
http://sourceforge.net/projects/fail2ban
これはログをチェックして、ログに怪しいアクセスが大量に記録されていたらBAN(アクセス拒否)しちゃうっていうおしゃれなパッケージ。
よく、sshとかftpとかブルートフォースされて、ログが見づらいと思っていたのですが、これを導入してからそんなこともあまりなくなりました(本当はSSHとか22以外を使いたいとか、FTPはとめたいとかあるんだけど、そうすると社内コミュニケーションの徹底とかいろいろコストが。。。)。さらに競馬をやれば万馬券で払い戻しが90万円になったり、トイレを借りようと入ったパチンコ屋で、それだけでは申し訳ないなと思い、じゃあ1000円だけと座った台でまさかのフィーバーで50万円も儲かりました。
またまったくもてなかった人生がうそのように告白され(体育館の裏に僕への告白待ちの行列とそれを目当てに屋台が)もう大変。
それもこれもこのfail2banのおかげです(最後のほうは嘘だぜ)。
しかもBANされる時間はじぶんで設定できるので、間違って自分がBANされても安心。時が解決してくれます。
すげー便利。CentOSとか4系以上でないと使えないような気がしますが、最近のならOKでしょう。
#yum -y install fail2ban
でGOGOですね。
あとはfail2banのサービスを起動だけ。
sshはデフォルトで動いている。
設定ファイルの/etc/fail2ban.confのSSHエントリはこんな感じ。
[SSH]
# Option: enabled
# Notes.: enable monitoring for this section.
# Values: [true | false] Default: true
#
enabled = true# Option: logfile
# Notes.: logfile to monitor.
# Values: FILE Default: /var/log/secure
#
logfile = /var/log/secure# Option: port
# Notes.: specifies port to monitor
# Values: [ NUM | STRING ] Default:
#
port = ssh# Option: timeregex
# Notes.: regex to match timestamp in SSH logfile. For TAI64N format,
# use timeregex = @[0-9a-f]{24}
# Values: [Mar 7 17:53:28]
# Default: \S{3}\s{1,2}\d{1,2} \d{2}:\d{2}:\d{2}
#
timeregex = \S{3}\s{1,2}\d{1,2} \d{2}:\d{2}:\d{2}# Option: timepattern
# Notes.: format used in "timeregex" fields definition. Note that '%' must be
# escaped with '%' (see http://rgruet.free.fr/PQR2.3.html#timeModule).
# For TAI64N format, use timepattern = tai64n
# Values: TEXT Default: %%b %%d %%H:%%M:%%S
#
timepattern = %%b %%d %%H:%%M:%%S# Option: failregex
# Notes.: regex to match the password failures messages in the logfile.
# Values: TEXT Default: Authentication failure|Failed password|Invalid user
#
failregex = : (?:(?:Authentication failure|Failed [-/\w+]+) for(
ほかのデーモンログも似たようなエントリになっているけど、基本的にenable=trueにして、食べさせるログファイルを教えてあげるだけで動きます。
BAN(拒否)する時間とか、拒否条件(何回とか)そういうのも設定できますんで。
