APM
해킹방지를 위한 fail2ban 설치
누피짱
2014. 5. 9. 09:30
개발중에 있던 서버에 burteforce기법으로 해커들이 루트계정을 따서 침투한뒤 네트워크 트래픽을 발생시키는 사건이 발생했다
이문제를 해결하기위해 이런저런 방법들을 찾아보다가 몇번이상 계정접근이 실패하면 접근한 IP를 막아버리는 툴이있어서 적용해봤다.
1. fail2ban 다운로드(http://www.fail2ban.org/wiki/index.php/Downloads)
2. 압축풀고 설치
#tar xvf fail2ban-0.8.12.tar.gz
#cd fail2ban-0.8.12
#python setup.py install
3. fail2ban 환경설정
/etc/fail2ban/jail.conf
ignoreip : 체크대상에서 제외할 IP
bantime : 접근실패횟수가 넘어간 IP에 대해 정해진 시간만큼 접근을 원천차단한다.
finditem : 실패횟수를 체크할 시간범위
maxretry : IP블럭의 기준이 되는 실패횟수
#SSH 접속모니터링설정
[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
sendmail-whois[name=SSH, dest=알림을받을이메일주소, sender=fail2ban@example.com, sendername="Fail2Ban"]
logpath = /var/log/secure
maxretry = 5
4. 실행
#fail2ban-client start
5. 부팅시 자동실행 설정
#cd fail2ban-0.8.12/files
#cp suse-initd /etc/init.d/fail2ban
#chmod 755 /etc/init.d/fail2ban
#chkconfig --add fail2ban
[출처] 해킹방지를 위한 fail2ban 설치|작성자 세직사