- 1. 概要
- 2. フィルタ
- 3. 設定
- 4. 参考サイト
1. 概要
メールサーバの設定はともかくとして、実は、これが本丸だったりする。
2. フィルタ
「apache」のフィルタとして、デフォルトで下記が用意されています。
/usr/local/etc/fail2ban/filter.d/apache-auth.conf
/usr/local/etc/fail2ban/filter.d/apache-badbots.conf
/usr/local/etc/fail2ban/filter.d/apache-botsearch.conf
/usr/local/etc/fail2ban/filter.d/apache-common.conf
/usr/local/etc/fail2ban/filter.d/apache-fakegooglebot.conf
/usr/local/etc/fail2ban/filter.d/apache-modsecurity.conf
/usr/local/etc/fail2ban/filter.d/apache-nohome.conf
/usr/local/etc/fail2ban/filter.d/apache-noscript.conf
/usr/local/etc/fail2ban/filter.d/apache-overflows.conf
/usr/local/etc/fail2ban/filter.d/apache-pass.conf
/usr/local/etc/fail2ban/filter.d/apache-shellshock.conf
とりあえず、このうち、下記のものを使ってみます。
・apache-auth: 管理画面などのパスワード間違い(401エラー)を監視。
・apache-noscript: php, pl, cgi などのスクリプトを狙った攻撃(403, 404エラー)を監視。
・apache-botsearch: 脆弱性スキャナー(phpMyAdmin などを探す動き)を監視。
3. 設定
vi /usr/local/etc/fail2ban/jail.local
下記を記述します。
[apache-auth]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/www/error.log
banaction = ipfw
maxretry = 3
[apache-noscript]
enabled = true
port = http,https
filter = apache-noscript
logpath = /var/log/www/access.log
banaction = ipfw
maxretry = 3
[apache-botsearch]
enabled = true
port = http,https
filter = apache-botsearch
logpath = /var/log/www/access.log
banaction = ipfw
maxretry = 2
設定をチェックします。
fail2ban-client -d
特にエラーが出なければ。
再読み込みして有効化します。
service fail2ban reload
4. 参考サイト
本ページは、「Gemini」伍長を参考にさせていただきました。
|
|
