fail2ban

防御技術

ログ監視に基づき不審なIPを自動ブロックする定番のオープンソースツール。

概要

fail2banは、Linuxサーバーで広く使われているオープンソースのログ監視・自動ブロックツールです。/var/log/auth.logや/var/log/nginx/access.log等のログを監視し、定義したパターン(filter)に一致する行が一定回数閾値を超えると、対応するIPをiptables/nftables/firewalldで一定時間ブロックします。

用途として、SSHブルートフォース対策が最も有名ですが、Apache/nginxへの不審アクセス、WordPress wp-login.phpの大量試行、Postfix/Dovecotへの認証攻撃等、ログを生成する任意のサービスに適用可能です。jail設定ファイルにより各サービスごとに「閾値」「監視期間」「ブロック期間」を細かく調整できます。

長年の実績がある一方、(1) 設定が複雑で習得コストが高い、(2) パターンマッチングのみで複雑な振る舞い検知は弱い、(3) 複数Webサーバーの一元管理機能がない、という運用上の課題もあります。多くの環境で「最初の防御線」として導入されます。

Scanrollはこう守る

Scanrollはfail2banの代替・補完となるサービスです。複数Webサーバーの一元監視、AI支援による攻撃判定、ダッシュボードからの可視化・操作、誤検知時のワンクリック解除など、fail2ban単独では難しい運用面の課題を解決します。既にfail2banをお使いの環境とも併用可能です。