Fail2Ban이란?
Fail2Ban은 무작위 대입 공격을 방어하는 프로그램이다. ssh라면 비밀번호를 마구 집어 넣어 보는 공격이 해당할 것이고, apache 같은 웹서버라면 /phpMyAdmin-5/index.php?lang=en 같은 식으로 찔러 보는 경로에 대한 요청을 검토해 IP를 차단할 수 있다. 다만 웹서버에 대한 공격은 추가 필터를 만들어야 한다. 예컨대 방금 예로 든 phpMyAdmin 폴더를 찔러보는 경우, 실제로 같은 경로에 phpMyAdmin이 있다면 IP를 차단해서는 안 되니까 말이다.
아래는 Fail2Ban 사이트의 소개다.
Fail2Ban은 로그 파일을 검사해서 (예컨대 /var/log/apache/error_log) 악의적 징후를 보여 주는 IP를 차단합니다(너무 많은 로그인 실패, 취약점을 찾는 요청 등). 따라서 일반적으로 Fail2Ban은 특정 시간동안 IP 주소를 차단하도록 방화벽 규칙을 업데이트하는 데 사용됩니다. 다른 많은 동작을 설정할 수도 있지만 말입니다(예컨대 이메일 보내기 같은 것). 기본적으로 Fail2Ban은 다양한 서비스를 위한 필터를 포함하고 있습니다(아파치, courier, ssh 등).
Fail2Ban은 잘못된 인증 시도의 비율을 줄일 수 있지만 취약한 인증 방법을 사용하는 데 따르는 위험을 완전히 없애지는 못합니다. 진정으로 서비스를 보호하려면 반드시 2단계 인증이나 공개키/개인키 인증 매커니즘 둘 중 하나를 사용하도록 설정하십시오.
기본 설치
우분투라면 아래 명령을 쓴다. 이하 설명은 기본적으로 우툰부(혹은 데비안 계열)에 대한 설명이다. 레드햇 계열이라면 설정 파일 경로나 명령어 같은 게 다를 수 있다.
sudo apt install fail2ban
설치 직후에 작동을 바로 할 것이다. 그렇지 않다면 맨 밑에 에러 확인 방법을 써 놨으니 확인하라.
버전에 대한 이해
Fail2Ban은 0.9.0 버전 때 많은 것이 변했다. 이 설명은 0.9.0 이후 버전에 대한 설명을 주로 다룬다. 따라서 자신의 버전을 확인해 보자.
fail2ban-client --version
# 결과: Fail2Ban v0.11.1
내 경우 0.11.1이었다.
설정 파일 – 기본
설정에 대해 자세히 알고 싶으면 /etc/fail2ban/jail.conf 파일의 설정 예시와 설명을 보거나 man jail.conf 명령어로 매뉴얼을 연다.
설정 파일 경로는 두 가지 방법으로 만든다. jail.conf의 맨 앞부분에 이런 설명이 씌어 있다.
대부분의 경우 이 파일을 수정할 필요가 없습니다. 하지만
jail.local파일이나,jail.d/폴더 밑에 각각의.conf로 사용자 설정을 제공합니다.
- 기본적인 설정은
jail.conf에 돼 있다. - 설정 내용을 덮어쓰려면
jail.local을 만들거나jail.d/폴더에.conf확장자로 설정 파일을 만들어서 저장한다.
jail.d/ 폴더에는 이미 파일이 하나 있다. sudo cat /etc/fail2ban/jail.d/defaults-debian.conf 명령으로 파일의 내용을 살펴 보자.
[sshd]
enabled = true
우리는 여기서 한 가지 문법을 유추할 수 있는데, [sshd]는 감시할 필터 규칙을 의미하는 것이고, enabled = true 설정으로 이 필터를 활성화한다는 것이다.
상태 확인
자, Fail2Ban을 설치한 것만으로 서버는 시작된 것이다. Fail2Ban이 제대로 실행중인지는 아래 명령으로 확인해 보자.
sudo fail2ban-client status
결과는 아래와 같은 식이다.
Status
|- Number of jail: 1
`- Jail list: sshd
이로써 우리는 ssh에 대한 무작위 대입 공격을 막을 수 있게 됐다.
만약 실행중이라는 결과가 나오지 않는다면 맨 아래 에러 대응 방법을 써 놨으니 그걸 참고하라.
설정 파일 – 한 발짝 더
한 발짝 더 나가보자. jail.conf에 있는 설정들을 jail.local 파일을 만들어서 덮어쓸 수 있다.
jail.local 파일을 만들고 몇 가지 기본 설정을 수정할 생각이다. 선호하는 에디터로 jail.local 파일을 열고 아래 설정을 넣는다.
[DEFAULT]
# 차단하지 않을 IP
ignoreip = 127.0.0.1/8 ::1 8.8.8.8
# IP 차단을 얼마동안 할지. 기본값은 10m
bantime = 31536000m
맨 앞에 우선 차단하지 않을 IP를 설정했다(ignoreip). 띄어쓰기로 IP를 여러 개 넣을 수 있다. 우선 로컬 접속 IP가 기본으로 들어가 있고(127.0.0.1/8와 ::1), 내 IP를 8.8.8.8이라고 가정했다(8.8.8.8은 실제로는 구글이 사용하는 DNS 서버의 IP다). 자신의 IP를 알고 싶다면 구글에서 what is my ip로 검색해 본다. 구글이 바로 알려 준다.
두 번째 설정으로, 차단 시간은 기본 10분인데 1년으로 늘렸다.
아래는 차단에 관여하는 설정인데, 기본값을 그대로 뒀지만 복사해서 [DEFAULT] 밑에 넣어 두자. 나중에 수정하기 쉽게 하려는 조처다.
# findtime 동안 maxretry에 설정된 수만큼 문제가 발견되면 IP를 차단한다.
# 기본값은 10m
findtime = 10m
# IP를 차단할 때까지 최대 실패 횟수. 기본값은 5
maxretry = 5
추가 필터 활성화
/etc/fail2ban/filter.d/ 폴더를 보면 여러 필터가 있다. jail.conf를 봐도 여러 필터가 있는 것을 확인할 수 있다.
jail.local을 열고 Fail2Ban이 기본으로 제공하는 아파치 필터를 넣어 보자. 아까 입력한 [DEFAULT] 섹션의 밑에 넣는다.
[apache-badbots]
# Ban hosts which agent identifies spammer robots crawling the web
# for email addresses. The mail outputs are buffered.
enabled = true
port = http,https
logpath = %(apache_access_log)s
bantime = 48h
maxretry = 1
설정을 보면 bantime과 maxretry를 필터별로 정의할 수 있다는 것을 알 수 있다.
logpath 설정 방법
logpath라는 새로운 설정값이 나타났는데, %(apache_access_log)s라는 모양을 볼 때 apache_access_log라는 변수를 사용한다는 것을 유추할 수 있다. 이 변수는 /etc/fail2ban/paths-common.conf 파일에 정의돼 있는데, apache_access_log = /var/log/apache2/*access.log라고 돼 있다.
그런데 만약 /var/log/apache2/ 폴더 밑에 여러 가상 호스트별로 폴더를 만들고 로그를 저장하는 경우라면 경로 설정을 어떻게 해야 할까? 아래처럼 하면 된다.
logpath = /var/log/apache2/*/*.log
로그패스가 제대로 들어갔는지 확인하려면, fail2ban-client status 필터명 명령을 사용하면 된다. 아래 설명하고 있으니 계속 따라가 보자.
현재까지 jail.local의 모습
이로써 지금까지 넣은 jail.local 파일은 아래와 같은 모양이 됐다.
[DEFAULT]
# 차단하지 않을 IP
ignoreip = 127.0.0.1/8 ::1 8.8.8.8
# IP 차단을 얼마동안 할지. 기본값은 10m
bantime = 31536000m
# findtime 동안 maxretry에 설정된 수만큼 문제가 발견되면 IP를 차단한다.
# 기본값은 10m
findtime = 10m
# IP를 차단할 때까지 최대 실패 횟수. 기본값은 5
maxretry = 5
[apache-badbots]
# 이메일 주소를 크롤링하는 스팸 로봇의 에이전트 문자열을 식별해 IP를 차단한다. enabled = true port = http,https logpath = %(apache_access_log)s bantime = 48h maxretry = 1
설정 적용하기
설정을 변경했으면 다시 읽어야 한다. 아래 명령으로 한다.
sudo systemctl reload fail2ban
혹은 아래 명령으로 할 수도 있다.
sudo fail2ban-server reload
이제 필터가 제대로 적용됐는지 확인해 보자.
sudo fail2ban-client status
아래처럼 Jail list에 apache-badbots가 추가됐으면 성공한 것이다.
$ sudo fail2ban-client status
Status
|- Number of jail: 2
`- Jail list: apache-badbots, sshd
개별 필터 확인하기
각 필터의 상태를 따로 확인할 수도 있다. 예컨대 sshd 필터의 상태만 보려면 뒤에 sshd를 붙인다. 그러면 해당 필터가 차단한 IP와 감시하고 있는 로그파일 정보를 볼 수 있다.
$ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 3
| |- Total failed: 765
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 26
|- Total banned: 26
`- Banned IP list: (생략)
현재 필터에 걸리는 게 3개, 지금까지 누적해서 걸린 게 765개, 감시하는 파일 경로가 나온다. 그리고 차단한 아이피 개수가 그 밑에 나온다. 차단한 IP의 목록도 나오는 것을 볼 수 있다.
사용자 설정 필터 만들어 넣기
Fail2Ban의 필터는 /etc/fail2ban/filter.d/ 폴더에 있다. 예컨대 apache-badbots의 설정은 /etc/fail2ban/filter.d/apache-badbots.conf에 있다. 내용은 다음과 같다.
# Fail2Ban configuration file
#
# Regexp to catch known spambots and software alike. Please verify
# that it is your intent to block IPs which were driven by
# above mentioned bots.
[Definition]
badbotscustom = EmailCollector|WebEMailExtrac|TrackBack/1.02|sogou music spider|(?:Mozilla/d+.d+ )?Jorgee
badbots = Atomic_Email_Hunter/4.0|atSpider/1.0|autoemailspider|bwh3_user_agent|China Local Browse 2.6|ContactBot/0.2|ContentSmartz|DataCha0s/2.0|DBrowse 1.4b|DBrowse 1.4d|Demo Bot DOT 16b|Demo Bot Z 16b|DSurf15a 01|DSurf15a 71|DSurf15a 81|DSurf15a VA|EBrowse 1.4b|Educate Search VxB|EmailSiphon|EmailSpider|EmailWolf 1.00|ESurf15a 15|ExtractorPro|Franklin Locator 1.8|FSurf15a 01|Full Web Bot 0416B|Full Web Bot 0516B|Full Web Bot 2816B|Guestbook Auto Submitter|Industry Program 1.0.x|ISC Systems iRc Search 2.1|IUPUI Research Bot v 1.9a|LARBIN-EXPERIMENTAL ([email protected])|LetsCrawl.com/1.0 +http://letscrawl.com/|Lincoln State Web Browser|LMQueueBot/0.2|LWP::Simple/5.803|Mac Finder 1.0.xx|MFC Foundation Class Library 4.0|Microsoft URL Control - 6.00.8xxx|Missauga Locate 1.0.0|Missigua Locator 1.9|Missouri College Browse|Mizzu Labs 2.2|Mo College 1.9|MVAClient|Mozilla/2.0 (compatible; NEWT ActiveX; Win32)|Mozilla/3.0 (compatible; Indy Library)|Mozilla/3.0 (compatible; scan4mail (advanced version) http://www.peterspages.net/?scan4mail)|Mozilla/4.0 (compatible; Advanced Email Extractor v2.xx)|Mozilla/4.0 (compatible; Iplexx Spider/1.0 http://www.iplexx.at)|Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt; DTS Agent|Mozilla/4.0 [email protected]|Mozilla/5.0 (Version: xxxx Type:xx)|NameOfAgent (CMS Spider)|NASA Search 1.0|Nsauditor/1.x|PBrowse 1.4b|PEval 1.4b|Poirot|Port Huron Labs|Production Bot 0116B|Production Bot 2016B|Production Bot DOT 3016B|Program Shareware 1.0.2|PSurf15a 11|PSurf15a 51|PSurf15a VA|psycheclone|RSurf15a 41|RSurf15a 51|RSurf15a 81|searchbot [email protected]|ShablastBot 1.0|snap.com beta crawler v0|Snapbot/1.0|Snapbot/1.0 (Snap Shots, +http://www.snap.com)|sogou develop spider|Sogou Orion spider/3.0(+http://www.sogou.com/docs/help/webmasters.htm#07)|sogou spider|Sogou web spider/3.0(+http://www.sogou.com/docs/help/webmasters.htm#07)|sohu agent|SSurf15a 11 |TSurf15a 11|Under the Rainbow 2.2|User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)|VadixBot|WebVulnCrawl.unknown/1.0 libwww-perl/5.803|Wells Search II|WEP Search 00
failregex = ^<HOST> -.*"(GET|POST|HEAD).*HTTP.*"(?:%(badbots)s|%(badbotscustom)s)"$
ignoreregex =
datepattern = ^[^[]*[({DATE})
{^LN-BEG}
# DEV Notes:
# List of bad bots fetched from http://www.user-agents.org
# Generated on Thu Nov 7 14:23:35 PST 2013 by files/gen_badbots.
#
# Author: Yaroslav Halchenko
그런데 apache-badbots 필터는 너무 낡았다. 거의 걸리는 놈이 없다. User Agent String은 쉽게 속일 수 있기 때문이다. 따라서 URL 요청에 따른 악의적 공격을 가려내는 것이 필요할 텐데, 자신의 서버에 따라서 악의적 공격을 가려내야 한다.
내 경우 phpMyAdmin을 사용하지 않으므로 phpMyAdmin 폴더를 요청하는 IP는 악의적 의도를 가졌다고 생각할 수 있다. (다시 말하지만, 서버 상황에 따라 악의적 요청이 무엇인지 서버 관리자가 가려야 한다.)
필터 설정을 모아 두는 폴더에 파일을 만들자. /etc/fail2ban/filter.d/apache-custom.conf 파일을 만들고 선호하는 에디터로 연다. (주의!: 필터명은 24자를 넘으면 안 된다.)
필터 파일의 규칙은 맨 위에 [Definition]이라고 적고, failregex 변수와 ignoreregex 변수를 설정해 주는 것이다. 설정을 위해 변수도 사용할 수 있다.
나는 phpmyadmin이나 phpMyAdmin이 들어간 URL을 요청하는 경우 차단할 생각이다. 그러면 아래처럼 쓰면 된다.
[Definition]
failregex = failregex = ^<HOST> -.*"(GET|POST|HEAD) /[^ ]*?(?:phpmyadmin|phpMyAdmin)[^ ]*? HTTP.*".*$
ignoreregex =
아파치 로그 규칙에 맞춰서 정규식을 썼고, 핵심부는 phpmyadmin|phpMyAdmin 부분이다. |가 “또는”이라는 뜻이다.
자, 차단할 문자열이 늘어날수록 복잡하니까 phpmyadmin|phpMyAdmin 부분을 변수화하자. 아래처럼 하면 된다.
[Definition]
badrequests = phpmyadmin|phpMyAdmin
failregex = failregex = ^<HOST> -.*"(GET|POST|HEAD) /[^ ]*?(?:%(badrequest)s)[^ ]*? HTTP.*".*$
ignoreregex =
이제 차단하고 싶은 URL 호출이 생길 때마다 badrequests에 추가해 주면 된다. 예컨대 arm63.php라는 파일은 내 서버에 없는 파일인데, 해커가 설치해서 사용하는 파일이다. arm63.php가 포함된 URL을 호출하는 IP를 차단하려면 아래처럼 갱신한다.
[Definition]
badrequests = phpmyadmin|phpMyAdmin|arm63\.php
failregex = failregex = ^<HOST> -.*"(GET|POST|HEAD) /[^ ]*?(?:%(badrequests)s)[^ ]*? HTTP.*".*$
ignoreregex =
자, 주의할 점이 하나 나왔는데, 정규식에서 .은 “한 글자”를 가리키는 뜻을 가진다. 따라서 이스케이핑(\)을 해 줘야 실제 .이라는 문자를 가리키게 된다. 그래서 \.이라고 쓴 것이다.
필터 테스트
필터가 제대로 작성됐는지 테스트해 볼 차례다. fail2ban-regex라는 프로그램을 사용한다. 아래가 명령을 내리는 방법 설명이다.
sudo fail2ban-regex [옵션] <로그> <정규식>
로그와 정규식은 파일 경로를 넣어도 되고 문자열을 넣어도 된다. 우리는 파일을 만들었으니 파일 경로를 넣어 주자.
sudo fail2ban-regex /var/log/apache2/access.log /etc/fail2ban/filter.d/apache-custom.conf
제대로 됐다면 아래처럼 출력될 것이다.
Running tests
=============
Use failregex filter file : apache-custom, basedir: /etc/fail2ban
Use log file : /var/log/apache2/access.log
Use encoding : UTF-8
Results
=======
Failregex: 0 total
Ignoreregex: 0 total
Date template hits:
|- [# of hits] date format
| [200] Day(?P<_sep>[-/])MON(?P=_sep)ExYear[ :]?24hour:Minute:Second(?:.Microseconds)?(?: Zone offset)?
`-
Lines: 200 lines, 0 ignored, 0 matched, 200 missed
[processed in 0.05 sec]
Missed line(s): too many to print. Use --print-all-missed to print all 200 lines 로그에 200줄이 있었는데, 무시된 건 0개고, 필터에 걸린 것도 0개라고 한다. 200개는 필터에 걸리지 않은 로그 줄이라고 한다. 필터에 걸리지 않은 로그 줄을 다 보고 싶다면 --print-all-missed를 옵션으로 주라고 한다. 만약, 필터에 걸린 놈들만 다 보고 싶다면 --print-all-matched 옵션을 넣어 주면 된다.
Fail2Ban에 커스텀 필터 등록하기
이제 테스트도 통과했으니 커스텀 필터를 등록하자.
선호하는 에디터로 /etc/fail2ban/jail.local 파일을 열고 맨 밑에 아래 내용을 추가해 주면 된다.
[apache-custom]
enabled = true
port = http,https
logpath = %(apache_access_log)s
maxretry = 2
findtime = 60
나는 60초 동안 2번 동안 이 필터에 걸리는 URL 호출을 하면 IP를 차단하게 한 것이다.
Fail2Ban 서버 설정을 리로드하고 상태를 보자.
sudo systemctl reload fail2ban
sudo fail2ban-client status
아래처럼 등록된 필터로 apache-custom이 등장하면 성공한 것이다.
Status
|- Number of jail: 3
`- Jail list: apache-badbots, apache-custom, sshd
완료된 jail.local 모습
[DEFAULT]
# IP 차단을 얼마동안 할지. 기본값은 10m
bantime = 31536000m
# findtime 동안 maxretry에 설정된 수만큼 문제가 발견되면 IP를 차단한다.
# 기본값은 10m
findtime = 10m
# IP를 차단할 때까지 최대 실패 횟수. 기본값은 5
maxretry = 5
[apache-badbots]
# 이메일 주소를 크롤링하는 스팸 로봇의 에이전트 문자열을 식별해 IP를 차단한다.
enabled = true
port = http,https
logpath = %(apache_access_log)s
bantime = 48h
maxretry = 1
[apache-custom]
enabled = true
port = http,https
logpath = %(apache_access_log)s
maxretry = 2
findtime = 60필터로 차단한 IP 목록 보기
어떤 필터가 어떤 IP를 차단하고 있는지 확인하고 싶을 때 아래 명령어를 사용한다.
sudo fail2ban-client status <필터이름>
apache-custom이 차단한 IP 목록을 보고 싶다면 아래처럼 명령을 내린다.
sudo fail2ban-client status apache-custom
아이피 차단 풀기
실수로 차단된 IP가 있다면 두 방법으로 풀 수 있다. 하나는 jail.local에 ignoreip로 등록하는 것이고, 다른 하나는 명령으로 하는 것이다.
명령어로 차단을 풀려면 아래와 같이 한다. 0.9.0 이전과 이후가 다른데, 여기서는 0.9.0 이후 버전의 명령만 다룬다.
sudo fail2ban-client set <filter이름> unbanip <IP주소>
그래서 apache-custom이 차단한 아이피 1.1.1.1을 풀고 싶다면 아래처럼 쓴다.
sudo fail2ban-client set apache-custom unbanip 1.1.1.1
여러 IP 차단 풀기
필터에 상관없이 여러 IP에 대한 차단을 풀 수 있다. 아래 명령을 사용한다.
sudo fail2ban-client unban <IP> ... <IP>
그러니까, 실제 명령은 이렇게 될 것이다. 1.1.1.1부터 1.1.1.4까지 IP 4개를 차단해제하는 것이다.
sudo fail2ban-client unban 1.1.1.1 1.1.1.2 1.1.1.3 1.1.1.4
그냥 모든 IP의 차단을 풀어 버리려면 아래 명령을 사용한다.
sudo fail2ban-client unban --all
특정 필터가 차단한 IP 전부 풀기
어떤 경우에는 필터에 심각한 결함이 발견돼, 해당 필터가 차단한 IP를 전부 풀어야 할 수 있다. 그런 경우 우선 해당 필터가 차단하고 있는 IP를 전부 복사한 다음에 여러 IP 차단 풀기 명령을 사용하면 된다. 아래는 apache-custom 필터가 차단한 IP를 전부 차단해제하는 예시를 보여 준다. (예시에서 $는 프롬프트라는 것을 가리키는 뜻으로 사용한 것이다. 명령어의 일부가 아니다. $ 없이 시작되는 줄은 출력 내용을 의미한다.)
$ sudo fail2ban-client status apache-custom
Status for the jail: apache-custom
|- Filter
| |- Currently failed: 0
| |- Total failed: 34
| `- File list: /var/log/apache2/access.log
`- Actions
|- Currently banned: 2
|- Total banned: 223
`- Banned IP list: 1.1.1.1 1.1.1.2
$ sudo fail2ban-client unban 1.1.1.1 1.1.1.2
수동으로 IP 차단하기
아래와 같은 식으로 IP를 수동으로 차단할 수 있다.
sudo fail2ban-client set <필터이름> banip <IP나열>
그러니까 아래와 같은 식으로 한다.
sudo fail2ban-client set apache-custom banip 1.1.1.1 1.1.1.2 1.1.1.3 1.1.1.4
차단한 IP 알림 받기
이건 설명하자면 길다. IP를 차단할 때마다 알림을 받으면 좀 피곤하다. 그래서 Fail2Ban의 sqlite 디비에 접속해서 알림을 보내는 PHP 프로그램을 만들었다. GitLab에 fail2ban-notification 프로그램의 코드를 공개해 놨으니 참고하면 된다.
Fail2Ban의 log 파일
log 파일 경로는 /var/log/fail2ban.log이다. 아래와 같은 형식으로 돼 있다.
2022-01-15 18:50:54,899 fail2ban.filter [10249]: INFO [sshd] Found xxx.xxx.154.120 - 2022-01-15 18:50:54
2022-01-15 18:50:55,372 fail2ban.actions [10249]: NOTICE [sshd] Ban xxx.xxx.154.120
필터 이름을 지을 때 주의 – 이름 글자수 24자 이하
filter 이름은 최대 24자를 넘으면 안 된다. iptable 설정에서 체인 이름(chain name)은 29자를, 대상 이름(target name)은 28자를 넘기면 안 되는데, fail2ban이 이 이름을 구성할 때 filter 이름을 사용하기 때문이다.
Fail2Ban은 filter 이름 앞에 f2b- 접두어를 붙여서 이름을 만든다. 내가 필터 이름을 apache-mytory-bad-requests로 했더니 체인 이름과 대상 이름이 f2b-apache-mytory-bad-requests으로 30자가 돼 아래와 같은 에러가 발생했다.
2022-01-09 07:15:17,928 fail2ban.filter [1103]: INFO [apache-mytory-bad-requests] Found xxx.xxx.52.134 - 2022-01-09 07:15:17
2022-01-09 07:15:18,067 fail2ban.actions [1103]: NOTICE [apache-mytory-bad-requests] Ban xxx.xxx.52.134
2022-01-09 07:15:18,081 fail2ban.utils [1103]: Level 39 7fd340459030 -- exec: iptables -w -N f2b-apache-mytory-bad-requests
iptables -w -A f2b-apache-mytory-bad-requests -j RETURN
iptables -w -I INPUT -p tcp -m multiport --dports http,https -j f2b-apache-mytory-bad-requests
2022-01-09 07:15:18,081 fail2ban.utils [1103]: ERROR 7fd340459030 -- stderr: "iptables v1.6.1: chain name `f2b-apache-mytory-bad-requests' too long (must be under 29 chars)"
2022-01-09 07:15:18,081 fail2ban.utils [1103]: ERROR 7fd340459030 -- stderr: "iptables v1.6.1: Invalid target name `f2b-apache-mytory-bad-requests' (28 chars max)"
2022-01-09 07:15:18,082 fail2ban.utils [1103]: ERROR 7fd340459030 -- stderr: "Try `iptables -h' or 'iptables --help' for more information."
2022-01-09 07:15:18,082 fail2ban.utils [1103]: ERROR 7fd340459030 -- returned 2
2022-01-09 07:15:18,082 fail2ban.actions [1103]: ERROR Failed to execute ban jail 'apache-mytory-bad-requests' action 'iptables-multiport' (이하 생략)
실행이 안 되는 경우 에러 확인
fail2ban이 실행되지 않는다면 아래 명령으로 에러를 확인한다.
sudo fail2ban-server start
나 같은 경우 아래와 같은 에러를 만난 적이 있다. 오라클 클라우드의 우분투 서버였다.
2022-01-16 07:53:39,944 fail2ban [3011039]: ERROR Failed during configuration: Have not found any log file for sshd jail
2022-01-16 07:53:39,945 fail2ban [3011039]: ERROR Async configuration of server failed
# 아래는 번역
2022-01-16 07:53:39,944 fail2ban [3011039]: ERROR 설정 실패: sshd jail에 대한 로그를 찾지 못했습니다.
2022-01-16 07:53:39,945 fail2ban [3011039]: ERROR 비동기적인 서버 설정이 실패했습니다.
검사용 로그 파일이 없으면 Fail2Ban 서버 시작이 안 된다.
에러 내용은 /var/log/auth.log 파일이 없어서 sshd 실패 검사를 할 수 없고, 그래서 Fail2Ban을 시작할 수 없다는 내용이었다.
확인해 보니 오라클 클라우드의 우분투 서버는 rsyslog 패키지가 깔려 있지 않아 syslog 등 기본적 시스템 로그를 기록하지 않고 있었다.
아래 명령으로 rsyslog 패키지를 설치했다.
sudo apt install rsyslog -y
그리고 Fail2Ban 서버를 시작해 보니 제대로 시작됐다.
$ sudo fail2ban-server start
Server Ready
Fail2Ban 상태를 체크하니 정상 출력됐다.
$ sudo fail2ban-client status
Status
|- Number of jail: 1
`- Jail list: sshd
클라우드플레어 DNS 프록시를 사용하는 경우
클라우드플레어의 DNS 프록시를 사용하는 경우에는 아파치 로그에 클라우드플레어의 IP가 찍히게 돼 fail2ban을 제대로 사용할 수 없게 된다.
게다가 클라우드플레어를 타고 들어오기 때문에 서버에서 IP를 차단해 봐야 소용이 없게 된다.
일단 원본 IP를 제대로 확보하는 방법은 이 글을 참고한다: 클라우드플레어 DNS 프록시 사용할 때 아파치 로그에 IP 주소 제대로 찍히게 하기
그리고 Fail2Ban의 IP 차단을 클라우드플레어와 연동하려면 프로필에서 글로벌 API Key를 얻은 다음(권한별 Token으로는 안 된다) jail.local 파일의 [DEFAULT] 영역에 아래처럼 액션을 넣어 준다.
action = cloudflare[cftoken=xxxxxxx, [email protected]]
iptables-multiportiptables-multiport가 기본 차단이고, cloudflare[cftoken=xxxxxxx, [email protected]]가 클라우드플레어 차단이다. [, ] 안은 액션에 변수를 주입해 준 것이다.
마지막으로 jail.local 파일의 [DEFAULT] 밑에 ignoreip에 클라우드플레어 IP들을 넣어 준다. 구분은 띄어쓰기로 한다.
ignoreip = 173.245.48.0/20 103.21.244.0/22 103.22.200.0/22 103.31.4.0/22 141.101.64.0/18 108.162.192.0/18 190.93.240.0/20 188.114.96.0/20 197.234.240.0/22 198.41.128.0/17 162.158.0.0/15 104.16.0.0/13 104.24.0.0/14 172.64.0.0/13 131.0.72.0/22 2400:cb00::/32 2606:4700::/32 2803:f800::/32 2405:b500::/32 2405:8100::/32 2a06:98c0::/29 2c0f:f248::/32위 IP들은 2025년 6월 1일 기준의 IP를 적은 것이다. 반드시 온라인에서 확인해 채우기 바란다.
나가며
이정도면 내가 Fail2Ban을 다루며 익힌 노하우는 대충 다 정리한 것 같다.
댓글 남기기