일정 기간 동안 금지하려는 IP 주소 목록(일종의 블랙리스트 파일)이 포함된 .txt 파일이 있다고 가정합니다. 예를 들어 Apache에서 이 작업을 수행하는 방법을 알고 있습니다. 간단히 .txt 파일을 apache.conf에 포함시킨 다음 정상적으로 다시 시작하면 됩니다.
나는 FAIL2BAN을 사용하여 동일한 일이 가능한지 궁금합니다. 여기서 나는 금지하고 싶은 IP 주소 목록을 주기적으로 '읽기' 위해 Fail2ban을 얻고, iptables와 통신하기 위해 Fail2ban 기계를 사용합니까?
답변1
Fail2ban은 차단할 주소 목록을 관리하는 것입니다.자동으로.
모든 것은 여러 개의 연속적인 "오류"가 있을 경우 가정에 기초합니다.같은원격 주소에서 이러한 "오류"는 우연이 아니며 주소가 악의적이고 불쾌한 작업(예: 무차별 암호 대입, 취약점 검색 등)을 시도하고 있습니다. 오류는 정의에 달려 있기 때문에 따옴표로 묶습니다. "오류"로 간주할 사항은 다음과 같이 정의됩니다.필터Fail2ban에서. 애플리케이션이로그무엇실시간(거의) 통신에서 문제를 발견할 때, 또한 해당 로그 메시지에는 통신 중이던 원격 장치의 주소가 포함되어 있습니다.
이러한 종류의 감지 자체에는 오류가 없습니다. 합법적인 사용자는 자신의 비밀번호를 잘못 기억하고 로그인할 때 거의 추측을 여러 번 시도할 수 있습니다. 이러한 시도가 로그에 나타나는 방식은 실제 무차별 대입과 다르지 않습니다. 그들이 너무 주장하고 서두르면 금지될 것이며 이는 실제 오탐입니다.
원격 IP도 감염된 컴퓨터인 경우가 많으며, 일정 시간이 지나면 다른 IP 아래에 표시됩니다. 그들이 점유하고 있던 이전 IP를 다른 무고한 행위자가 차지할 수 있으며, 해당 시스템은 잘못 금지된 것을 알게 될 것입니다. 감염되고 취약한 시스템도 때때로 치료되고 수정되므로 더 이상 위험하지 않습니다.
이 모든 것을 설명하기 위해, Fail2ban에 의해 부과되는 금지는 다음과 같습니다.영구적이지 않음, 일정 시간이 지나면 자동으로 금지가 해제됩니다.
당신이 가지고있을 때 그것은 모두 다릅니다선험적으로금지할 주소 목록입니다. 우선, 일반적으로 이러한 주소는 주소가 아니지만네트워크 블록(인접한 주소 세트) 둘째, 해당 목록의 항목은 다음과 같습니다.만료되지 않는 것으로 알려져 있음; 우리는 이러한 네트워크 블록을 운영하는 개체가 있다고 가정합니다.악의적이다. 그리고 마지막으로 가장 중요한 것은:Fail2ban은 대규모 금지 목록을 관리하는 데 형편없습니다.. 자동이기 때문에 유용하고 유용합니다.수천 개의 주소에 사용하려고 하지 마세요. 데이터베이스에 있는 수천 개의 주소로 시작/중지하면 상당한 처리 시간(수십 분)이 발생합니다.
주소 목록이 있는 경우에는 방화벽을 직접 사용하십시오. Fail2ban으로 관리하려고 하지 마세요. 오히려 자동으로 금지되거나 자주 금지 해제되는 일부 주소(또는 소규모 서브넷과 같은 가까운 주소 집합)를 발견하는 경우 이를 조사하고 아마도 수동으로 금지하여 Fail2ban이 다시는 처리하지 않도록 하는 것이 유리할 수 있습니다. .