fail2banを導入する際の手順。基本的にsshサービスへのアタックのみに対応する設定。

• ipfwの設定

  /etc/rc.confに以下を追加。

  firewall_enable="YES"
  firewall_type="open"

  firewall_typeに関しては、/etc/rc.firewallに指定できる値が書かれている。デフォルトは"UNKNOWN"で、firewall_typeを指定せずにipfwを起動してしまうと一切通信ができなくなってしまうので注意。また、ipfwサービスを起動せずに、単純にipfw.koを読み込むだけでも同様に一切通信ができなくなる(デフォルトルールが全部拒否になっているため)。

• fail2banの設定

  /usr/local/etc/fail2ban/jail.confにて、ssh-ipfwをenableにする。メールアドレスを適切に設定する必要あり。監視するログファイルはauth.logでOK。 /usr/local/etc/fail2ban/action.d/ipfw.confにて、

  actionban = ipfw add deny tcp from <ip> to <localhost> <port>

  を

  actionban = ipfw add 60000 deny tcp from <ip> to <localhost> <port>

  に変更する。これは、ipfwの設定としてfirewall_typeをopenにした場合、ルール番号65000にすべての通信を許可する設定が入るので、これより前にbanの設定を追加しなければならないため。

• /etc/rc.conf

  以下を追加する

  fail2ban_enable="YES"