安爺ニュース/newsリンク/ ニュース拾い読み/PC備忘録

/var/log/secure authentication failure

----------------------------------------------

fail2ban　
10分間にCentOSでは5回、Ubuntuでは6回現れたら攻撃を受けていると判定し、iptables で攻撃元からの接続をブロックします。
ブロックは 10分後、解除します

Ubuntu
# apt-get install fail2ba


CentOS6
[root@falcon21 ~]# yum --enablerepo=epel install fail2ban
インストール:
fail2ban.noarch 0:0.9.6-1.el6.1

依存性関連をインストールしました:
ipset.i686 0:6.11-4.el6 libmnl.i686 0:1.0.2-3.el6
python-inotify.noarch 0:0.9.1-1.el6

完了しました!

********************************

CentOS での fail2ban の出力先を /var/log/messages に変更
/etc/fail2ban/jail.local を作成　
[root@falcon21 ~]# vi /etc/fail2ban/fail2ban.local
[Definition]

logtarget = /var/log/fail2ban.log

--------
・・・/etc/fail2ban/fail2ban.local は、/etc/fail2ban/fail2ban.conf の設定を上書き

----------
fail2ban を起動
[root@falcon21 ~]# /etc/init.d/fail2ban start
fail2ban を起動中: 　　　　　　　　　　　　　　　　　　[ OK ]

・・・次回システム起動時からは、fail2ban は自動起動

******************************************************

チェックは、/var/log/fail2ban.log
[root@falcon21 ~]# tail -10 /var/log/fail2ban.log
2017-08-03 14:13:30,906 fail2ban.server [22740]: INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.6
2017-08-03 14:13:30,907 fail2ban.database [22740]: INFO Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
2017-08-03 14:13:30,911 fail2ban.database [22740]: WARNING New database created. Version '2'


通知先メールアドレスにメール送信する
[root@falcon21 ~]# vi /etc/fail2ban/jail.conf
130 destemail = root@falcon21.space
133 sender = root@falcon21.space
139 mta = postfix


[root@falcon21 ~]# /etc/init.d/fail2ban reload
Reloading fail2ban:


***********************************************************
メール受信時のID/パスワードの認証エラーにも対処
（auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=XXXXX rhost=YY.YY.YY.YY）

/etc/fail2ban/fail2ban.local に以下を追加
[root@falcon21 ~]# vi /etc/fail2ban/fail2ban.local

[Definition]
logtarget = /var/log/fail2ban.log

[sasl-iptables]
enabled = true

[dovecot-auth]
enabled = true

・・・・・jail.conf の設定を上書き

[root@falcon21 ~]# /etc/init.d/fail2ban reload
Reloading fail2ban: