毓林園地

今天早上查看教會伺服器的 log 檔，發現奇怪的訊息，好像是被入侵的訊息，趕快改了 root 的密碼，也去 google 一下有什麼法寶可以擋下這些壞蛋。

auth.log 的內容如下：
Apr 17 06:25:02 tnhc-web su[25779]: + ??? root:nobody
Apr 17 06:25:02 tnhc-web su[25779]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:02 tnhc-web su[25779]: (pam_unix) session closed for user nobody
Apr 17 06:25:02 tnhc-web su[25792]: + ??? root:nobody
Apr 17 06:25:02 tnhc-web su[25792]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:02 tnhc-web su[25792]: (pam_unix) session closed for user nobody
Apr 17 06:25:02 tnhc-web su[25794]: + ??? root:nobody
Apr 17 06:25:02 tnhc-web su[25794]: (pam_unix) session opened for user nobody by (uid=0)
Apr 17 06:25:56 tnhc-web su[25794]: (pam_unix) session closed for user nobody

google 一下，發現了 Fail2ban 這個套件，而 ubuntu 6.06 有這個套件，馬上安裝來用。

安裝：
sudo apt-get install fail2ban

設定：
設定檔在 /etc/fail2ban.conf
預設的內容，可以擋下 ssh 的入侵，而 http 的部份，要手動開啟，只要在 [Apache] 的 enabled = false 改成 enabled = true 即可。

在 /etc/fail2ban.conf 的內容中找到這一段，設成 true 。
[Apache]
# Option:  enabled
# Notes.:  enable monitoring for this section.
# Values:  [true | false]  Default:  false
#
enabled = true

接著再看下去會有 apache log檔的設定，因為設定中的目錄，跟實際上的不一樣，所以要改一下，apache → apache2。

原本的：
# Option:  logfile
# Notes.:  logfile to monitor.
# Values:  FILE  Default:  /var/log/apache/access.log
#
logfile = /var/log/apache/access.log

修改後：
# Option:  logfile
# Notes.:  logfile to monitor.
# Values:  FILE  Default:  /var/log/apache/access.log
#
logfile = /var/log/apache2/access.log

設定好之後，請再重新啟動 fail2ban ，重新啟動的指令如下：
sudo /etc/init.d/fail2ban restart

參考來源：
MacBlog - Fail2ban
Jamyy's Weblog: 以 Fail2ban 封鎖嘗試侵入的 IP

20080703 補充：
一開始安裝好的 ubuntu 6.06 當中的 apt 需要修改一些小地方才能下載安裝 fail2ban 的，方法如下：

修改來源套件：
sudo vi /etc/apt/sources.list
找到 #deb http://tw.archive.ubuntu.com/ubuntu/ dapper universe
以及 #deb http://tw.archive.ubuntu.com/ubuntu/ dapper-backports main restricted universe multiverse
將開頭的「#」拿掉。

更新套件庫：
sudo apt-get update ; sudo apt-get upgrade

安裝 fail2ban：請看本文章的開頭