fail2what?

一つ前のエントリやら何やらで、sshdのポート番号を変えてたらbrute forceのlogin attemptが劇的に減るとかなんとか書いた。

すると、最近になって変えたポートで待ち受けるsshdへのlogin attemptが激増した。割とタイムリーだったのか。アクセス元のIPアドレスは3000種類くらいで、かなり規則性のあるバラツキがあるが、多いやつは600回くらい試行している。一応まだログインされた形跡はないと思うけど、気持ち良いものではないよなー。

うーん、このサーバって一応fail2banも入れてたはずなんだけどなー、と思って設定を見直してみたら、actionを書いてなかった! つまりDBに書くだけで実際にはbanしていなかったというオチを経験する一幕があった。デフォルトでfirewallcmd-ipsetにしとかないとダメですよね。

xmlrpc.phpの問題も、fail2banに任せればいいのかな。ちょっと設定してみたけど、効くかどうかは不明。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です