前回、fail2banでBanしたログを調べておりますと、
BanしてもしてもしつこくSSHログインを試行してくる面倒くさい輩がいましたので、ひとまず挙動を確認してみることに。
sudo cat /var/log/fail2ban.log | grep 213.155.231.234
あー、1〜2分ごとに試みていますね。
弾かれてるので問題無いのですが、気分が悪いのとできればラズパイのSDカードを不正ログなんかで刺激したくない!
そもそもこのIPはどこの何だ?と調べてみました。
IPひろばは有料だそうなので、別のlookupサービス
<参考>IP確認サービス
Trace An IP - Our IP Address Locator & Tracer Can Track Any Location
で確認すると
チェコだそうです。
他にも
中国
コロンビア
などなど!
なんと、全世界が注目してくれているようです!わーい(違
こういうものはIP元が本拠地という訳ではなく、乗っ取られたネットワーク機器などの世界中の踏み台を経由してアクセスされますので犯人は不明です。
とりあえずfail2banでは再犯のIPアドレスは長期間Banするように設定できるようです。
<参考>
<CentOSの場合>
sudo nano /etc/fail2ban/jail.d/jail.local
のrecidiveにenabled=trueを追記して有効化
[recidive]
enabled = true
再起動します。
sudo service fail2ban restart
ログを確認して
sudo cat /var/log/fail2ban.log
recidiveが起動していれば成功。
成功すればログに↓が表示される。
INFO Jail 'recidive' started
動きました。
ステータスでもきちんと設定に反映されています。
sudo fail2ban-client status
Status
|- Number of jail: 2
`- Jail list: recidive, sshd
SSHポートを変更したら来なくなったのでIPがBanされているかの確認は現時点ではできませんが、これでしばらく様子をみます。
<Raspbianの場合>
同じように
sudo nano /etc/fail2ban/jail.d/jail.local
を編集
[recidive]
enabled = true
として
再起動させてログを確認したら何やらエラーが出ていました。
Error in FilterPyinotify callback: 'module' object has no attribute '_strptime_time'
ん?
調べるとバグのようで、システムで用いられているモジュール名の問題のようですが、、情報が2014年?古くない?
bug in fail2ban (Page 1) — iRedMail Support — iRedMail
解決策は?よくわかりません!
わかりませんが、一応システムとしては動いてはいるようなのです。
確認
sudo fail2ban-client status
Status
|- Number of jail: 2
`- Jail list: ssh, recidive
このまま様子をみてもう一度ログを確認すると
fail2ban.actions[7649]: WARNING [ssh] Unban 221.131.68.210
fail2ban.actions[7649]: WARNING [ssh] Ban 221.131.68.210
fail2ban.actions[7649]: WARNING [recidive] Ban 221.131.68.210
と recidiveが反応してるので、システムはきちんと働いているようです。
こちらも、とりあえずこのまましばらく様子をみることにします。