構築ネタ(FreeBSD) Fail2ban で遊ぶ on FreeBSD (2)

Pocket

Fail2banのバージョンが0.8.x → 0.9.x に上がったことにより、設定ファイルの記述方法に変更あり。それはいいんだけど、何も考えずに ports とか pkg でバージョン上げちゃうと、デフォルト設定の「起動するけど何もしない」という不親切(安全)な状態に陥るかも。

どう変わってるかは、/usr/local/etc/fail2ban/jail.conf のコメント部分に書いてある。さらに、詳細は man 5 jail.conf を参照、と書いてあるのだが、あいにくFreeBSDでは jail は別の意味を持つ(→chroot機能)ため、参照不可。

man 5 jail.conf すると、別の(というか、FreeBSD本来の)jail.confのマニュアルが表示されてしまう。

新たな設定方法は、既存の設定ファイル (*.conf)には手を加えず、変更は別途 *.local を作成してそちらに記述する。もしくは、*.d/ ディレクトリ配下に個別に *.conf を作成する。

要は、fail2ban.conf を修正したければ fail2ban.localをjail.confを修正したければjail.local を作って変更点を記述すればいい。
path-freebsd.confもアップデート時に上書きされるっぽいので、ログパスの変更も併せてjail.localに書く方が安全と思われる。

/etc/defaults/rc.conf のデフォルト設定を /etc/rc.conf で上書きする FreeBSD の流儀と同じだから、そんなに混乱はないかな。

以下、サマリー。

■Fail2ban の設定

○デフォルト設定 (jail.conf) を上書くために、新規作成。

・フィルターを ipbables から pf に変更。
・ログのパスを変更。
・監視を有効化。

[/usr/local/etc/fail2ban/jail.local]
[DEFAULT]
banaction = pf
action = %(action_mw)s
apache_error_log = /home/www/logs/*error[_.]log
apache_access_log = /home/www/logs/*access[_.]log
sshd_log = /var/log/messages
proftpd_log = /var/log/messages

[sshd]
enabled = true

[apache-auth]
enabled = true

[apache-badbots]
enabled = true

[apache-noscript]
enabled = true

[apache-overflows]
enabled = true

[apache-nohome]
enabled = true

[apache-botsearch]
enabled = true

[apache-modsecurity]
enabled = true

[php-url-fopen]
enabled = true
logpath = %(apache_access_log)s

[proftpd]
enable=true

[sendmail-reject]
enable=true

[courier-auth]
enable=true

[mysqld-auth]
enable=true

[recidive]
enable=true

○フィルタルール修正

sshdの接続拒否ログに表示される逆引きホスト名が長すぎてマッチしないため、
ログを逆引きホスト名ではなくIPアドレスで記録するように設定変更。

・sshd.conf に ログの正規表現追記。

[/usr/local/etc/fail2ban/filter.d/sshd.conf]
            ^%(__prefix_line)swarning: /etc/hosts.allow, line \d+: can't 
verify hostname: getaddrinfo\(\, .*\) failed\s*$

・sshdのログへの逆引き抑止

[/etc/ssh/sshd_config]
116c116
< #UseDNS yes
---
> UseDNS no

この設定で様子見。
0.8.x の時と同じ部分は省略してるので、そちらも参照してくださいな。

2014/6/26 追記。
だまされた。 UseDNS no はログの逆引き禁止じゃねぇ。
Fail2Ban の Wiki に書いてあったから信じちゃったじゃねぇか!

この記事にコメントする

Powered by WordPress, WP Theme designed by WSC Project. ログイン