Fail2ban, log dosyalarini inceleyerek, fazla hatalı veya başarısız islem yapan ip adresini belirli bir sure engellemek icin kullanılan uygulamadır. Tercihinize göre iptables veya tcpwrapper kullanarak DROP kurallarını otomatik olarak ekler veya kaldırır ve sizi email yoluyla bilgilendirebilir.
EPEL deposunda bulunan fail2ban’ı kurmak için
#yum install fail2ban
Varsayılan olarak /etc/fail2ban/jail.conf dosyasinda yapılandırmak istedigimiz servisin log dosyasinin bulundugu bolum duzenlenir ya da eklenir. Örnek olarak ;
[sasl-iptables]
enabled = true
filter = sasl
action = iptables[name=sasl, port=smtp, protocol=tcp]
sendmail[name=sasl, dest=email@address.com]
logpath = /var/log/maillog
[postfix]
enabled = true
filter = postfix
action = iptables[name=SMTP, port=smtp, protocol=tcp]
sendmail[name=Postfix, dest=email@address.com]
logpath = /var/log/maillog
[dovecot]
enabled = true
filter = dovecot
action = iptables-multiport[name=dovecot, port="pop3,pop3s,imap,imaps", protocol=tcp]
mail[name=dovecot, dest=email@address.com]
logpath = /var/log/dovecot.log
maxretry = 20
findtime = 1200
bantime = 1200
fail2ban.conf ve jail.conf dosyalarındaki diğer ayarları düzenledikten sonra, uygulamayı başlatmanız gerekecektir.
# service fail2ban restart
Fail2ban log örneği ise aşağıdaki gibi olacaktır;
2013-03-28 04:52:35,474 fail2ban.actions: WARNING [dovecot] Ban 122.226.212.222 2013-03-28 05:12:36,194 fail2ban.actions: WARNING [dovecot] Unban 122.226.212.222 2013-03-28 05:59:13,869 fail2ban.actions: WARNING [sasl-iptables] Ban 174.50.235.244 2013-03-28 06:09:13,956 fail2ban.actions: WARNING [sasl-iptables] Unban 174.50.235.244 2013-03-28 07:15:37,082 fail2ban.actions: WARNING [postfix] Ban 5.47.155.176 2013-03-28 07:25:37,178 fail2ban.actions: WARNING [postfix] Unban 5.47.155.176