下記記事で紹介してきた fail2ban で、あるログにマッチするルールが複数あって、それぞれのbantimeが異なる値の場合、UNBANがもっとも短い bantime で行われるので注意が必要です。
しつこい攻撃を fail2ban でブロックする – パソコン鳥のブログ
Fail2banのルールの書き方 – パソコン鳥のブログ
このユーザへのログイン試行はアウト!fail2banで明らかな辞書攻撃をブロックするルール – パソコン鳥のブログ
BANのアクションとしてiptablesを使っている場合は、チェインをルールごとに異なるようにしているかを確認してください。
jail で次のようにアクションを記述する際、name= がチェイン名の指定です。
bantimeが異なる複数ルールで、この name を同じものにしないようにします。
action = iptables[name=SSH, port=ssh, protocol=tcp]
コメント