fail2banの設定とrsyslogのslice消し

2018年10月12日

普段は debian を使っているので、KUSANAGI環境の CentOS はあまり馴染みがありません。なにげにログディレクトリをながめていると、fail2ban.log という面白そうな名前のログが….なになに、認証失敗を記録してBANしてくれるサービスなのか。

ログの見方を調べてみると、一定時間内に一定回数の認証を失敗すると、決められた時間BANしてログインできなくするよ、というサービスを提供してくれています。sshd のログがほとんどですが、設定次第では Web認証やら ftp やらいろいろ対象にしてくれます。優れものなんですね。

ログを上から見ていると、なかなかにしつこくアタックする人がいるようです。BAN時間を長くしてみようか、と考えていたらネットで以下の記事を見つけました。

fail2banでしつこい攻撃者だけ長期BANする方法 | TeraDas（テラダス）

サーバ運用をしていると、アタックを受ける事は日常茶飯事です。 ですから、例えばブルートフォース攻 ...

 https://www.teradas.net/archives/15002/

まさしくこれを探していたのでとても助かりました。いろいろと細かい設定が出来るようです。元記事の通りに

/etc/fail2ban/jail.d/local.conf

のほうに

[recidive]
enabled = true

を追加しました。jail.conf には enabled に関する記述だけ設定されていないので、有効にしたい場合は追記するのが正式のようです。

他にも syslog 関連を見ていたら systemd の slice でログが埋まってるのに驚いて

rsyslog に *** Slice of root のログが出力される - しょぼんメモリ （´・ω・｀）

【環境】 # cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core) # rpm -qa | grep rsyslog ...

 https://shobon.hatenablog.com/entry/2018/01/12/001400

こちらの方の記事のおかげで対策できたり、久しぶりにログまわりをいろいろと改善できた気がします。定期的に見てないとダメなんですけどね。