~ To be, or not to be, or to forget all. ~ null-i.net |
Linux/CentOS Stream8でサーバ構築/その他編 | |
その他、セキュリティ関連のパッケージ(2022-03-11) 前回の Webサーバ編 に引き続き、セキュリティ関連のパッケージを入れます。 fail2banのインストール†ログを追跡して不正アクセス等を見つけた場合に、自動的にbanする仕組みです。 $ dnf --enablerepo=epel install fail2ban とにかくもう、ssh の不正ログインを防ぐだけでも価値があります。 [sshd] port = ssh,xxxxx # xxxxx は自分で変更したポート番号 もちろんsshdポートを変更せずに22番のまま fail2banしても問題ありません。 [postfix-sasl] # /etc/fail2ban/jail.conf にある postfix-sasl を上書きする enabled = true # 有効化する port = smtp,465,587 # 自分で足したポート(submissionポートなど)も追加する logpath = /var/log/maillog tail # # findtime 秒の間に、maxretry 回のアクセスが来たら ban します。bantime 秒後に解除 # 各パラメータについては「man jail.conf」を参照 # maxretry = 1 # 一発でアウト findtime = 60 bantime = 180000 # 少なくとも二日以上は banしてやれば良い backend = pyinotify これで起動します。 $ systemctl enable fail2ban $ systemctl start fail2ban ただ、これを導入した後に自分でログイン失敗しまくったりメール設定を間違えまくったりした場合には、もちろん自分もbanされます(と、ここに書いている私も経験済みです)。 tripwire のインストール†ファイルやディレクトリの更新を検知します。 $ dnf --enablerepo=epel install tripwire 設定方法などの詳細は tripwireメモのほう で書きます。 またCentOS Stream10 が出るころには色々と変わるかもしれませんが、ひとまずこれで。 |
|