@GarethTheRed의 답변을 사용하고 있습니다.이 문제원격 CentOS 7 서버에 fall2ban을 설치합니다. 나는 지금까지의 모든 단계를 완료할 수 있었는데 tail -f /var/log/fail2ban.log, 그 시점에서 나는 그가 대답에서 얻은 것과 다른 결과를 얻었습니다.
이 단계에서 얻은 결과는 다음과 같습니다.
[[email protected] ~]# tail -f /var/log/fail2ban.log
2014-12-02 16:55:53,548 fail2ban.server.server[6667]: INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.9.0
2014-12-02 16:55:53,550 fail2ban.server.database[6667]: INFO Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
2014-12-02 16:55:54,239 fail2ban.server.database[6667]: WARNING New database created. Version '2'
마지막 줄 다음에는 .을 입력하지 않으면 커서만 표시되고 명령 프롬프트는 표시되지 않습니다 Ctrl-C.
입력하면 활성 systemctl status fail2ban상태라고 표시됩니다 fail2ban. 시스템에서 로그아웃했다가 나중에 다시 로그인하면 sshd마지막 로그인 이후 로그인 시도가 여러 번 실패했다는 메시지가 나타납니다. 그래서 로그가 있어야 합니다 fail2ban. 하지만 찾을 수 없는 것 같아요.
fail2ban내가 추적할 수 있는 로그를 생성 하도록 설정하는 방법을 알려줄 수 있는 사람이 있나요 ?
답변1
fail2ban다음에서 설치해 보세요 .에펠. CentOS 7용으로 패키지되어 있으며 출시되면 업데이트를 받을 수 있습니다. 다른 저장소를 설치하면 rpm작동할 수도 있지만(이 경우에도 작동함) 최선의 접근 방식은 아닙니다.
먼저 루트로 다음 명령을 실행하여 EPEL 저장소를 설치합니다.
yum install epel-release
위의 내용은 EPEL을 설치하고 다음에 대한 액세스 권한을 제공해야 합니다.많은 새로운 패키지. 이러한 패키지 중 하나는 fail2ban이므로 다음 명령을 실행하여 설치하십시오.
yum install fail2ban
기본적으로 감옥은 구성되지 않으므로 기본 sshd감옥을 구성하려면 다음을 수행하십시오.
파일 생성/편집 /etc/fail2ban/jail.local및 추가:
[sshd]
enabled = true
시작:
systemctl start fail2ban
부팅 시 시작되도록 설정합니다.
systemctl enable fail2ban
한때는알려진 오류SELinux는 fail2ban작업을 수행하는 데 필요한 로그 파일에 대한 액세스를 차단합니다. 이 문제는 최신 버전의 CentOS 7에서 수정된 것으로 보입니다. 다음과 같이 변경할 필요가 없습니다.
이 문제가 발생하면 로그에 아무것도 나타나지 않고 출력에 실패 또는 차단 항목이 표시되지 않는 증상이 나타납니다 fail2ban-client status sshd.
SELinux 오류를 확인하려면 다음 로그를 읽으십시오.
journalctl -lfu fail2ban
다음과 같은 소식을 주목하세요.
SELinux is preventing /usr/bin/python2.7 from getattr access on the file .
***** Plugin catchall (100. confidence) suggests **************************
If you believe that python2.7 should be allowed getattr access on the file by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# grep fail2ban-server /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp
따라서 제안된 대로 수행하고 다음을 실행하십시오.
grep fail2ban-server /var/log/audit/audit.log | audit2allow -M mypol
semodule -i mypol.pp
그런 다음 안전을 위해 재부팅하십시오 fail2ban.
systemctl restart fail2ban
오류 메시지가 더 이상 로그에 나타나지 않을 때까지 위 프로세스를 반복해야 할 수도 있습니다.
서버가 인터넷에 있으면 모니터링하세요 fail2ban-client status sshd. 모든 SELinux 문제를 발견하면 곧 실패 및 금지 횟수가 표시되기 시작합니다.
SELinux 정책 업데이트에 세심한 주의를 기울여야 합니다. 패키지 업데이트가 제공 되면 selinux-policy위의 내용을 덮어쓸 수 있으므로 위의 명령을 다시 실행해야 할 수도 있습니다. 이 경우 fail2ban다시 작동이 중단되므로 알 수 있습니다!