[Linux] 우분투(Ubuntu) Fail2ban 보안 설정

 

[한빛미디어]이것이 우분투 리눅스다 : 우분투 리눅스 설치부터 네트워크와 서버 구축 운영까지

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

 

 

 

 

🚀 우분투(Ubuntu) Fail2ban 보안 설정

    🔽 개요

        📦 소개

이번에는 Fail2ban이라는 것을 통해 기깔나는 사람들 내부 서버의 보안을 좀 더 견고하게 하는 작업을 해보려고 해요. 

 

        📦 Fail2ban이란?

Fail2ban은 침입 차단 Software Framework(소프트웨어 프레임워크)로 Python(파이썬) 언어로 개발된 프로그램이에요.

Log(로그), iptables를 이용하여 접속 시도를 확인하고, 차단하여 무차별 대입 공격으로 부터 System(시스템)을 보호하는 역할을 해요.

Packet(패킷) 제어 시스템이나, Local Firewall(로컬 방화벽; iptalbes 또는 TCP wrapper)와의 Interface(인터페이스)를 갖는 POSIX 시스템에서 사용할 수 있고, GNU General Public License(GNU GPL 또는 GPL) v2+ License(라이센스)가 적용된 Open Source(오픈 소스)로 배포(Release) 되고 있어요.

이번에 주니는 아래 단계를 통해 설치를 진행할 거에요.

∙ apt 명령어를 이용하여 fail2ban 설치 
∙ fail2ban 정상 설치 여부 확인
∙ systemctl 명령어를 통한 fail2ban Service(서비스) 관리
∙ fail2ban 설정
∙ fail2ban 사용 방법

 

 

        📦 apt 명령어를 이용하여 fail2ban 설치

최초 설치를 위해 Package(패키지) 최신화를 진행해 줄게요. 

apt-get update && apt-get upgrade -y

 

 

 

apt-get install -y fail2ban ufw

728x90

 

 

apt-get install -y fail2ban ufw

 

 

 

 

 

        📦 fail2ban 정상 설치 여부 확인

fail2ban-client -V

 

위와 같이 Version 정보가 나온다면 정상 설치 된 것이에요.

 

 

        📦 systemctl 명령어를 통한 fail2ban Service(서비스) 관리

# 1.fail2ban service 설정 반영
$ sudo systemctl daemon-reload

# 2.fail2ban service 시작
$ sudo systemctl start fail2ban.service

# 3.fail2ban service 중지
$ sudo systemctl stop fail2ban.service

# 4.fail2ban service 재시작
$ sudo systemctl restart fail2ban.service

# 5.fail2ban service 설정 재적용
$ sudo systemctl reload fail2ban.service

# 5.fail2ban service 상태 조회
$ sudo systemctl status fail2ban.service

# 6.fail2ban service 활성화(부팅시 자동 시작)
$ sudo systemctl enable fail2ban.service

# 7.fail2ban service 비활성화
$ sudo systemctl disable fail2ban.service

# 8.fail2ban service 및 관련 프로세스 모두 중지
$ sudo systemctl kill fail2ban.service

 

 

systemctl start fail2ban

 

주니는 위와 같이 fail2ban을 시작하여 주었어요.

        📦 fail2ban 설정

vim /etc/fail2ban/jail.conf

vim /etc/fail2ban/jail.conf

 

 

vim /etc/fail2ban/jail.conf

위 내용이 Default Value인데, 우분투의 경우 ufw를 방화벽으로 사용하기 때문에 아래와 같이 변경해 주었어요.

 

vim /etc/fail2ban/jail.conf

 

----------------------------------------
[DEFAULT]
# 차단 예외 IPs, 추가 시 스페이스로 구분
ignoreip = 127.0.0.1/8

# 접속 차단 시간, 1분 = 60, 아래 예제는 1일, -1 설정 시 영구 차단
bantime = 86400

# 설정 시간 내 maxretry 설정만큼 접속 실패 시 차단
findtime = 86400

# 최대 허용 횟수
maxretry = 3

# 차단 방법, firewalld 사용 시 'firewallcmd-new', iptables 사용 시 'iptables-multiport'
banaction = iptables-multiport


[sshd]
enabled = true
----------------------------------------

반응형

 

주니는 위와 같이 설정 해 주었어요.

참고로 /etc/fail2ban/fail.conf File(파일)은 Update(업데이트) 시 초기화 되기 때문에, /etc/fail2ban/jail.d/*conf 또는 /etc/fail2ban/jail.local 파일 생성 뒤 설정하는 것을 추천해요.

 

vim /etc/fail2ban/jail.local

vim /etc/fail2ban/jail.local

 

여기까지 해 주었다면 저장하고, 나옵니다.

 

touch /var/log/auth.log

그리고, 위와 같이 Log가 남을 auth.log 파일을 빈 파일로 만들어 주었어요.

chmod 644 /var/log/auth.log

그런 뒤 권한을 수정해 주었어요.

systemctl restart fail2ban.service

 

그리고, 위와 같이 Service를 재 시작해 주었어요.

여기서 참고해야 할 점은 재 시작할 때 마다, ban Lise(벤 목록) 즉, 차단하는 횟수 등이 초기화 되는 점이에요.

journalctl -f

 

위 명령어로 실시간 ssh Login(로그인) 실패 기록을 확인할 수 있어요.

아직 이 서버에 누군가 접근한 흔적은 없나보네요.

 

        📦 fail2ban 사용 방법

최초 차단 목록 조회를 해 볼게요.

fail2ban-client status

 

 

fail2ban-client status sshd

 

SSH 를 통해 접속 시도를 하고, 정책에 의거하여 차단한 클라이언트 내용을 이렇게 확인할 수 있어요.


만약 특정 IP에 대해 SSH 접속 차단을 풀어주고 싶다면 아래와 같이 하면 됩니다.

# fail2ban-client set sshd unbanip <Client IP>

cat /var/log/fail2ban.log

 

Fail2ban 관련 로그는 이렇게 확인할 수 있어요.

 

 

 

🧐 참고 자료

MANUAL 0 8 - Fail2ban

 

 

 

[한빛미디어]이것이 우분투 리눅스다 : 우분투 리눅스 설치부터 네트워크와 서버 구축 운영까지

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."