fail2banでログが複数のbantimeが異なるルールにマッチする場合の注意点

ALL
スポンサーリンク

下記記事で紹介してきた fail2ban で、あるログにマッチするルールが複数あって、それぞれのbantimeが異なる値の場合、UNBANがもっとも短い bantime で行われるので注意が必要です。

しつこい攻撃を fail2ban でブロックする – パソコン鳥のブログ
Fail2banのルールの書き方 – パソコン鳥のブログ
このユーザへのログイン試行はアウト!fail2banで明らかな辞書攻撃をブロックするルール – パソコン鳥のブログ

BANのアクションとしてiptablesを使っている場合は、チェインをルールごとに異なるようにしているかを確認してください。
jail で次のようにアクションを記述する際、name= がチェイン名の指定です。
bantimeが異なる複数ルールで、この name を同じものにしないようにします。

action = iptables[name=SSH, port=ssh, protocol=tcp]

コメント