私は、ラックスペース クラウド サーバー (centos 6.7 を実行する標準 LAMP スタック) に csf+lfd をインストールしました。デフォルト ファイルでいくつかの設定を微調整しただけです。とcsf.confで許可されるポートを変更し、 に設定しました。また、に設定しました。 次に、csf+lfd をサービスとしてインストールしました。TCP_INTCP6_INRESTRICT_SYSLOG3TESTING0
chkconfig --level 235 csf on
service csf restart
そもそも csf+lfd をセットアップするきっかけとなったのは、このサーバー上の Wordpress サイトへの攻撃に対抗するためでした。ボットは xmlrpc.php ファイルを介してブルート フォース攻撃を試みていました。まず、Apache でこのファイルへのアクセスをグローバルに拒否しました。
<FilesMatch "^(xmlrpc\.php|wp-trackback\.php)">
Order Deny,Allow
Deny from all
</FilesMatch>
これはうまく機能しているようです。Apache エラー ログに次のような行が表示されます。
[Mon Aug 24 13:19:48 2015] [error] [client 1.2.3.4] client denied by server configuration: /path/to/virtualhost/xmlrpc.php
しかし、特定の IP アドレスから xmlrpc.php URL に 1 秒ごとにアクセスするボットが 1 つあり、そのアクセスは 1 時間ほど続きます。csf+lfd がこれに気付いて IP アドレスを拒否リストに追加してくれることを期待していましたが、そうはなりませんでした。ファイルのログ ファイルの場所セクションに Apache エラー ログがありますcsf.conf。
HTACCESS_LOG = "/var/log/httpd/error_log"
また、Apache エラー ログには、1 時間にわたって xmlrpc.php にアクセスしようとした IP のエントリが約 3600 件ありました。しかし、csf+lfd はそれを検出しませんでした。
初心者なので、何か簡単なことを見逃しているのだと思います。どんな助けでも大歓迎です。