Gentoo에서 fail2ban 쓰기

가끔 ssh로 brute force 공격이 들어오곤 하는데, 관련해서 피해를 입은 적은 없지만 기분이 꺼림찍 해서 fail2ban을 설치하기로 했습니다. 사랑스럽게도 portage에 fail2ban이 있네요.

emerge fail2ban

자 설치가 끝났습니다. 그런데 iptables를 함께 설치해주진 않네요.

emerge iptables

iptables도 설치가 끝났습니다. /etc/fail2ban/jail.conf를 열어서 ssh-iptables를 활성화시켰고, sshd를 inet모드로 돌리는 관계로 (xinetd 로그는 시스템 로거 쪽으로 기록됨) log 파일 경로를 수정해줬습니다. 자 이제 fail2ban을 실행시켜야죠.

/etc/init.d/fail2ban start

띄워놓고 fail2ban 로그를 살펴보는데 어라? 아래처럼 에러가 보입니다.

2009-04-10 08:55:46,602 fail2ban.actions.action: ERROR echo -en “Hi,\n
The IP 어떤아이피 has just been banned by Fail2Ban after
295 attempts against SSH.\n\n
Here are more information about 어떤아이피:\n
whois 어떤아이피\n
Regards,\n
Fail2Ban”|mail -s “[Fail2Ban] SSH: banned 어떤아이피” unfix@unfix.net returned 7f00

보니까 mail command가 없어서 난 에러였네요. 그렇다면 이것도 설치해줘야죠. 참고로 mail 은 mailutils 패키지에 포함되어 있습니다.

emerge mailutils

이제 에러도 안보이고, 아주 잘 작동하네요. 이제 남은 건 자동 시동 스크립트로 fail2ban과 iptables를 더해주는 것~ :)

rc-update add fail2ban default rc-update add iptables default

젠투 버그질라에 RDEPEND가 빠졌다고 신고를 해줬는데, 고쳐질지는 모르겠네요.

결론: 젠투에서 fail2ban을 사용하려면 fail2ban, iptables, mailutils를 모두 설치해야합니다.

Published by

2 thoughts on “Gentoo에서 fail2ban 쓰기”

  1. fail2ban이 iptables말고도 hosts.deny로도 막게 되어 있고
    mail은 jail.conf 에서 해당 라인 주석처리하면 안쓰게 되어
    있어서 그럴지도 모르겠네요.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">