Fail2banとは何ですか？

ログファイルを監視して不正アクセスを検知し、攻撃元のIPアドレスを自動的にブロックするセキュリティツール。ブルートフォース攻撃からサーバーを守る番人役です。

Fail2banのポイントは？

ログファイルからログイン失敗などの不正パターンを検知する。一定回数の失敗で攻撃元IPを自動的にファイアウォールでブロック。SSH、Webサーバー、メールサーバーなど多くのサービスに対応。ban時間や閾値をサービスごとに細かくカスタマイズできる

【フェイルトゥーバン】

Fail2ban とは？

💡 不正アクセスの常習犯を自動で出入り禁止にする門番

📌 このページのポイント

ログファイルからログイン失敗などの不正パターンを検知する
一定回数の失敗で攻撃元IPを自動的にファイアウォールでブロック
SSH、Webサーバー、メールサーバーなど多くのサービスに対応
ban時間や閾値をサービスごとに細かくカスタマイズできる

Fail2ban の BAN サイクルのイメージ

ひよこ

SSHのログを見たら知らないIPからログイン試行が大量にあって怖い…

ペンギン先生

それはボットによるブルートフォース攻撃だね。インターネット上のサーバーは常にこういった攻撃にさらされているんだ。Fail2banを入れれば、一定回数ログインに失敗したIPを自動でブロックしてくれるよ。

ひよこ

どういう仕組みで動いてるの？

ペンギン先生

Fail2banはログファイル（例：/var/log/auth.log）をリアルタイムで監視しているんだ。「Failed password」のようなパターンが同じIPから短時間に一定回数出現したら、iptablesやnftablesのルールを自動追加してそのIPをブロックするよ。

ひよこ

自分がパスワード間違えてブロックされちゃうこともある？

ペンギン先生

あるある！でもignoreipという設定で自分のIPを除外できるよ。あと、ban時間はデフォルトで10分だから、しばらく待てば解除される。fail2ban-client set sshd unbanip IPアドレスで手動解除もできるんだ。

ひよこ

SSHだけじゃなくて他のサービスも守れるの？

ペンギン先生

もちろん！Nginx、Apache、Postfix、Dovecotなど多くのサービス用のフィルタが最初から用意されているよ。WordPressへの攻撃を防ぐフィルタもあるんだ。jail.localファイルで各サービスの閾値やban時間を個別に設定できる。公開サーバーを運用するなら、Fail2banはほぼ必須のツールだと言っていいね。

まとめ：ざっくりこれだけ覚えればOK！

「Fail2ban」って出てきたら「不正ログインを繰り返すIPを自動ブロックするツール」と思えればだいたいOK！

📖 おまけ：英語の意味

「Fail to Ban」＝失敗したらBAN（追放）

💬 ログイン「失敗（Fail）」を繰り返したら「追放（Ban）」するという動きそのまま名前になっているよ

← 用語集にもどる