CentOS 7にfall2banをインストールする

fail2ban以下からインストールしてみてください。エッフェル。 CentOS 7用にパッケージ化されており、リリース時にアップデートを受け取ることができます。別のリポジトリをインストールすると機能rpmすることもありますが（この場合でも機能します）、これは最善のアプローチではありません。

まず、rootとして次のコマンドを実行してEPELリポジトリをインストールします。

yum install epel-release

上記はEPELをインストールし、次へのアクセスを提供する必要があります。多くの新しいパッケージ。これらのパッケージの 1 つがあるfail2banので、次のコマンドを実行してインストールします。

yum install fail2ban

デフォルトでは、刑務所は設定されていないため、デフォルトのsshd刑務所を設定するには、次の手順を実行します。

ファイルの作成/編集/etc/fail2ban/jail.localと追加：

[sshd]
enabled = true

スタート：

systemctl start fail2ban

起動時に起動するように設定します。

systemctl enable fail2ban

かつて既知のエラーSELinux は、fail2ban操作を実行するために必要なログファイルへのアクセスをブロックします。この問題は、最新バージョンのCentOS 7で修正されたようです。次のように変更する必要はありません。

この問題が発生すると、ログに何も表示されず、出力に失敗またはブロックエントリが表示されない症状が表示されますfail2ban-client status sshd。

SELinux エラーを確認するには、次のログを読んでください。

journalctl -lfu fail2ban

次の投稿に注意してください。

SELinux is preventing /usr/bin/python2.7 from getattr access on the file .
       *****  Plugin catchall (100. confidence) suggests   **************************
       If you believe that python2.7 should be allowed getattr access on the  file by default.
       Then you should report this as a bug.
       You can generate a local policy module to allow this access.
       Do 
       allow this access for now by executing:
       # grep fail2ban-server /var/log/audit/audit.log | audit2allow -M mypol
       # semodule -i mypol.pp

したがって、提案されているとおりに実行し、以下を実行します。

grep fail2ban-server /var/log/audit/audit.log | audit2allow -M mypol
semodule -i mypol.pp

その後、安全のために再起動してくださいfail2ban。

systemctl restart fail2ban

エラーメッセージがログに表示されなくなるまで、上記のプロセスを繰り返す必要があります。

サーバーがインターネットにある場合は監視してください fail2ban-client status sshd。すべてのSELinuxの問題を発見すると、すぐに失敗と禁止の数が表示され始めます。

SELinuxポリシーの更新には細心の注意を払う必要があります。パッケージの更新が提供されると、上記selinux-policyの内容が上書きされる可能性があるため、上記のコマンドを再実行する必要があるかもしれません。この場合、fail2ban再び動作が中断されるのでわかります！