fail2ban運用方法#

どこからでもsshができるような、踏み台ホストを運用しています。

fail2banを入れているのですが、ほんとアタックが多くて困りますねぇ。24時間で8,998件もBanしています。Banのルールは4回の認証失敗です。

fail2ban件数

次に、現時点のiptablesでのDROPに入っているIPアドレスは114個です。

fail2banによりiptablesで拒否されている件数

無駄なアタックを容認していると、こちらのCPUリソースやネットワークリソースを食うので、止む終えない理由で22番ポートを開放している場合はfail2banのインストールは必須かと思います。

どのくらいアタックが来ているか？#

banされたら、メールが来るような設定をしていると、こんぐらいの頻度でアタックが来ています。。。

fail2banのブロックしているホスト数をmackerelでグラフ化#

メールの通知がたくさんくるので、1回ブロックしても再度アタックしてくるホストがたくさん居ることがわかります。

ということで、パスワードはミスらないように注意するという運用と引き換えに、1回banをしたら1年間は解除しないように設定しました。

bantime = 31536000 ; 1 year

mackerelのカスタムメトリックでグラフ化するときの設定はこちら。