一定期間禁止したい IP アドレスのリストを含む .txt ファイル (つまり、ある種のブラックリスト ファイル) があるとします。Apache でこれを行う方法はわかっています (たとえば)。.txt ファイルを apache.conf に含めて、正常な再起動を実行するだけです。
fail2ban を使用して同じことが可能かどうか疑問に思っていました。fail2ban の仕組みを利用して iptables と通信し、何らかの方法で fail2ban に禁止したい IP アドレスのリストを定期的に「読み込ませる」ことができるのでしょうか?
答え1
Fail2banは禁止するアドレスのリストを管理するためのものです自動的に。
すべては、同じリモートアドレスの場合、これらの「エラー」は偶発的なものではなく、アドレスは悪意があり、何か厄介なことをしようとしている(たとえば、パスワードのブルートフォース攻撃、脆弱性のスキャンなど)。エラーは定義次第であるため引用符で囲みます。何を「エラー」と見なすかは次のように定義されます。フィルターfail2banでは、アプリケーションがログ何かリアルタイムで(ほとんどの場合) 通信に問題が発見され、そのログ メッセージには通信していたリモートのアドレスも含まれています。
このような種類の検出自体にはエラーがないわけではありません。正当なユーザーがパスワードを間違えて覚えていて、ログイン時に何度か似たような推測を試みる可能性があります。これらの試みがログに記録される方法は、本物のブルートフォース攻撃と変わりません。あまりにもしつこく、性急であれば、アカウントが禁止されてしまいますが、これは実際の誤検知です。
リモート IP は、感染したコンピュータであることが多く、しばらくすると別の IP で表示されます。そのコンピュータが占有していた以前の IP は、他の無実の人物によって取得される可能性があり、そのシステムは誤って禁止されます。感染した脆弱なシステムは、修復されて修正されることもあるため、もはや危険ではありません。
これらすべてを考慮すると、fail2banによって課される禁止は永久的ではないしばらくすると自動的に禁止が解除されます。
すべてが違ってきますアプリオリ禁止するアドレスのリスト。まず、これらのアドレスは通常、アドレスではなく、ネットワークブロック(隣接するアドレスのセット)。次に、そのリストのエントリは期限切れにならないことが知られている;これらのネットワークブロックを操作するエンティティは悪意があるそして最後に、最も重要なのは:fail2banは大規模な禁止リストの管理には向いていない自動であるからこそ、優れていて使いやすいのです。何千ものアドレスで使用しないでくださいデータベース内の数千のアドレスで開始/停止するだけでも、かなりの処理時間(数十分)がかかります。
アドレスのリストがある場合は、ファイアウォールを直接使用してください。fail2ban で管理しようとしないでください。むしろ、頻繁に自動的に禁止および禁止解除されるアドレス (または小さなサブネットなどのアドレスの密接なセット) が見つかった場合は、これらを調査し、おそらく手動で禁止して、fail2ban が再びそれらに対処しないようにすることが有利です。