読み方 : フェイルトゥーバン

Fail2ban

Fail2banとは?

サーバへの不正アクセスの試みを自動的に検知・遮断するセキュリティツール。ログファイルを監視し、一定回数以上の認証失敗を検出すると、該当するIPアドレスを自動でブロックする。
Fail2banのイメージ画像

主にLinux環境で動作し、SSHFTPなどのサービスに対するブルートフォース攻撃パスワードを総当たりで割り出す攻撃)を防ぐために用いられている。攻撃者が短時間に大量のログイン試行を行うと、その送信元IPアドレスが一時的または永続的にファイアウォールでブロックされる仕組みである。

Fail2banは常駐プログラムとしてログファイルをリアルタイムで監視し、あらかじめ設定した正規表現パターンにマッチする不審な記録を検出する。検出回数が閾値を超えると、iptablesやnftablesといったLinuxファイアウォール機能に対してブロックルールを追加し、該当IPからの通信を遮断する。

設定は「フィルター」と「アクション」という概念で管理される。フィルターはどのようなログパターンを不審とみなすかを定義し、アクションはそのパターンが検出された際に何を行うかを定義する。SSHApachenginxなど多くのサービス向けのフィルターがあらかじめ用意されており、一般的な環境ではすぐに導入できる。

ブロックの持続時間や検出回数の閾値は管理者が自由に設定できる。例えば、「10分以内に5回の認証失敗があれば1時間ブロックする」といった細かな制御が可能であり、誤検知によって正規の利用者が締め出されるリスクと、セキュリティの強度とのバランスを調整できる。

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。