Debian 10 Buster で fail2ban のメモ

Debian 10 Buster で fail2ban を設定したときのメモ。とりあえず sshd だけで、メール通知するようにしたパターン。

  1. インストールする。

    # apt-get install fail2ban
  2. /etc/fail2ban/jail.conf を変更する。以下はインストール状態からの変更点のみ。
    ignoreip = 127.0.0.1/8 ::1 # ban 対象としない IP アドレスを指定
    destemail = root@example.com # 送信先メールアドレスを設定
  3. /etc/fail2ban/jail.d/sshd.conf を新規作成する。

    [sshd]
    enabled = true
    port	= 22 # 実際の sshd のポートを指定
    logpath	= %(sshd_log)s
    backend	= %(sshd_backend)s
    action	= %(action_mw)s
  4. fail2ban を再起動する。

    # systemctl restart fail2ban.service

テストしてみたところ IPv4 はもちろん、IPv6 でも正常に (?) ban されることを確認した。

ban が発動すると該当アドレスについて、iptables で「f2b-sshd」というチェインが作られ、REJECT されるようになっていた。なお、指定時間が経過後は「f2b-sshd」チェインは残るものの、REJECT が削除されて通信出来るようになるようだ。

また、fail2ban 自体を再起動すると「f2b-sshd」チェインも削除されるようだ。ただ、ban 対象がある場合はそれは復元されるみたい。

もちろん、既存のルールに影響することがないように設定される。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です