Zenn
📝

Fail2banとは

に公開
it
tech

動機

Linuxの学習を進める中でFail2banの設定を行うことが多かったが、あまり内容を深く理解せずに設定していたので、技術ブログを通じて理解を深めようと思った。

Fail2banとは

Fail2banは、ログファイルを監視して、不正なアクセス(特にSSHなど)を検出し、自動的にそのIPアドレスをブロックするツールです。

どんなときに使う?

SSHへのブルートフォース攻撃対策
SSHへのブルートフォース攻撃対策
メールサーバーのスパム対策

どうやって動くの?

1.ログ監視
例えば、SSHログインの失敗が /var/log/auth.log に記録されます。Fail2banはこのログを監視します。
2.ルールに一致する失敗を検出
例えば「5分間に5回ログイン失敗したら危険」といったルールを設定できます。
3.IPアドレスをブロック
条件に一致したIPアドレスを、iptables や firewalld を使って自動的にブロックします。

例:sshの不正アクセスを防ぐ設定

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 600

Fail2banのメリット

自動で不正アクセスを防げる
軽量で導入が簡単
カスタマイズ性が高い(独自ルートも作れる)

最後に

本記事ではFail2banについてまとめましたが、まだ理解が浅い部分や至らない点も多くあるかと思います。もし誤りや改善点などお気づきの点があれば、ぜひご指摘いただけると嬉しいです。
今後も学んだことを整理しながら、より良いアウトプットができるよう努めていきます。

Discussion