AWS EC2 Fail2ban

이번 블로그에서는 리눅스에서 주로 보안을 강화하기 위해 사용되는 도구인 Fail2ban을 AWS EC2에 적용하는 글을 작성해보겠습니다.

 

Fail2ban 개념

Fail2ban은 리눅스에서 주로 보안을 강화하기 위해 사용되는 도구입니다. 서버에 대한 무차별 공격을 방어하기 위해 개발된 이 도구는 주로 SSH와 같은 네트워크 서비스에 적용됩니다. 로그 파일을 모니터링하여 특정 IP에서 지속적으로 실패한 로그인 시도를 감지하고, 일정한 규칙에 따라 해당 IP를 자동으로 차단하는 역할을 합니다. 또한 Fail2ban은 iptables와 연동하여 IP를 차단하고, 차단된 IP는 일정 시간이 지나면 자동으로 해제될 수 있습니다.

 

구축 방안

먼저 AWS EC2에 SSH로 접속해 아래의 명령어로 필요한 패키지들을 설치 및 활성화 해줍니다.

sudo dnf install rsyslog -y
sudo systemctl enable rsyslog --now
sudo cat /var/log/secure

 

다음으로 yum 명령어를 이용해 fail2ban을 설치 및 활성화 해줍니다.

sudo yum install fail2ban -y
sudo systemctl enable fail2ban.service

 

다음으로 vim 을 이용해 파일을 열어 준 뒤 아래의 내용을 작성해줍니다.

sudo vim /etc/fail2ban/jail.local

• jail.local

[sshd]
enabled = true
port = 22
filter = sshd
logpath = /var/log/secure
maxretry = 5
findtime = 300
bantime = 120

 

마지막으로 fail2ban을 재시작 및 상태를 확인 해줍니다.

sudo systemctl restart fail2ban.service
sudo systemctl status fail2ban.service

Result

5번 정도 접속에 실패한 다음 모습을 확인해줍니다.

아래의 사진과 같이 정상적으로 막힌 모습을 확인 가능합니다.

 

이것으로 Fail2ban을 이용해 SSH 접속을 차단하는 아키텍처를 구성하는 글을 마치겠습니다. 감사합니다!