[ubuntu, fail2ban] 로그인 실패 횟수에 따라 IP 차단하기

📒 [ubuntu, fail2ban] 로그인 실패 횟수에 따라 IP 차단하기

---

한 번씩 개인 서버에 들어가 로그인 시도 정보를 확인하면 정말 하루종일 무작위 공격을 시도하는 것을 확인할 수 있습니다.

괜히 전기요금 더 나올 것 같아 방어하려고 찾아보던 중 fail2ban이란 툴을 발견했습니다.

 

📌 fail2ban

fail2ban은 SSH 로그인 실패 횟수에 따라 IP를 차단시켜 주는 툴입니다.

무작위 공격 특성상 IP를 차단하는 것만으로도 어느 정도 예방이 가능합니다.

 

🔎 설치

$ sudo apt update
$ sudo apt install fail2ban -y

 

🔎 설정파일 수정

• 기본 설정 파일을 복사해 줍니다.

$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

 

• 편집기를 이용해 복사한 파일을 열어줍니다.

$ sudo nano /etc/fail2ban/jail.local

 

• 수많은 주석을 지나 [sshd] 섹션을 찾은 후 아래 내용을 추가합니다.

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
findtime = 600

전

후

주요 옵션들의 설명은 다음과 같습니다.

maxretry: 허용할 최대 로그인 실패 횟수 (여기서는 3회로 설정)

bantime: 차단 시간 (초 단위, 여기서는 1시간)

findtime: 실패 시도 횟수를 계산할 기간 (초 단위, 여기서는 10분)

 

🔎 재시작하여 설정 적용

$ sudo systemctl restart fail2ban



🔎 동작 상태와 차단 목록 확인

$ sudo fail2ban-client status sshd

위 명령어를 이용해 데몬의 상태와 차단당한 IP 리스트를 확인할 수 있습니다.

 

🔎 IP 차단 및 해제 명령어

• 특정 IP 수동으로 차단

$ sudo fail2ban-client set sshd banip <IP주소>

 

• 특정 IP 수동으로 차단 해제

$ sudo fail2ban-client set sshd unbanip <IP주소>