サーラリマンは働き過ぎ、社畜化に注意しよう!!

Rasbain fail2ban

asterisk

これの解決も苦労した

vi /etc/asterisk/logger.conf

dateformat=%F %T ; ISO 8601 date format これをコメントアウト

/etc/init.d/asterisk restart

 

apt-get install fail2ban

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

vi /etc/fail2ban/jail.local

ignoreip = 127.0.0.1/8 192.168.1.0/24  変更

#bantime = 604800 ; 1 week

bantime = 31536000 ; 1 year   変更
#bantime = -1 ;永久追放

findtime = 86400 ; 1 day  変更

[asterisk-tcp]

enabled = true  変更

[asterisk-udp]

enabled = true   変更

 

vi /etc/fail2ban/filter.d/asterisk.conf

….

NOTICE.* .*: Failed to authenticate device .*\(<HOST>:.*\)  これを追記
ignoreregex =

 

起動確認

fail2ban-client status

エラーがなければOK

fail2banを再起動したときにメールが来ないとダメ

フィルターが適正かの確認

grep -e “NOTICE.* .*: Failed to authenticate device .*” /var/log/asterisk/messages

ログを確認

tail -n 50 /var/log/asterisk/messages

 

防御の確認

iptables -L

tail -n 100 /var/log/fail2ban.log これと tail -n 100 /var/log/asterisk/messages を見比べて確認する

ひつこい相手には最終手段

iptables -A INPUT -p UDP -s 120.143.8.239 –dport 5060 -j DROP

iptables -A INPUT -p TCP -s 89.163.146.72 -j DROP

 

 

コメント