私は一連の Web サーバーを運用しており、すでにかなり優れたファイアウォール ルールを設定していますが、トラフィックを監視し、必要に応じてルールを追加できるものを探しています。不正な SSH ログインを監視する denyhosts はありますが、これは素晴らしいことです。しかし、マシン全体に適用して、Web アプリケーションに対するブート フォース攻撃を防ぎ、一般的な攻撃の証拠を示す IP をブロックするルールを追加できるものがあればいいと思います。
APF を見たことがありますが、ここ数年更新されていないようです。まだ使用されているのでしょうか。また、この目的に適しているのでしょうか。また、iptables を操作して適応的に動作させる他のソリューションはありますか。
役に立つかどうかはわかりませんが、私は Ubuntu Linux を実行しています。
答え1
私はfail2banの大ファンです
http://www.fail2ban.org/wiki/index.php/Main_Page
Fail2ban で利用できる主な機能のリストを以下に示します。
Client/Server architecture.
Multi-threaded.
Highly configurable.
FAM/Gamin support.
Parses log files and looks for given patterns.
Executes commands when a pattern has been detected for the same IP address for more than X times. X can be changed.
After a given amount of time, executes another command in order to unban the IP address.
Uses Netfilter/Iptables by default but can also use TCP Wrapper (/etc/hosts.deny) and many other actions.
Handles log files rotation.
Can handle more than one service (sshd, apache, vsftpd, etc).
Resolves DNS hostname to IP address.
答え2
について学ぶipset
のメーカーよりiptables
。
次に、ターゲットの使用方法を学習します。できれば、および/または-j SET
と組み合わせて使用します。-m recent -m limit
-m hashlimit
若きジェダイよ、幸運を祈る! :-)
(Ubuntuを使っている場合は、しなければならないソースから ipset をインストールします。HOWTO については私のブログを参照してください。http://pepoluan.posterous.com/powertip-howto-install-ipset-on-ubuntu)
答え3
答え4
少しやり過ぎですが、OSSEC という素晴らしいプロジェクトがあります。これは、サーバーのログを監視し、何か怪しいものを見つけた場合 (ルールのリストがあり、独自のルールを書くこともできます)、リモート IP をブロックできます。
これを iptables デーモンと呼ぶことはできませんが、denyhost よりもはるかに強力です。