ンターネットにサーバを公開した瞬間から、不正アクセスとの戦いは始まります。特に SSH(22番ポート)は、世界中のボットによって常時スキャンされており、
「設定した覚えがないのに大量の Failed password ログが出ている」という経験をした管理者は少なくありません。
本記事では、Linux サーバの防御において事実上の標準ツールとなっているFail2ban について、以下を中心にわかりやすく解説します。
なぜ SSH は常に攻撃されるのか
SSH は Linux サーバ管理に不可欠なサービスですが、同時に 最も狙われやすい入口でもあります。
Linux
Failed password for root from 193.46.xxx.xxx port 44286 ssh2nFailed password for invalid user admin from 45.xxx.xxx.xxx port 56022 ssh2これらは人間ではなく、**自動化されたボット(ボットネット)**による攻撃です。
特徴として:
- IP アドレスが毎回違う
root / admin / ubuntu / oracle / testなどを順番に試す- 1台につき数回だけ試して次へ移る
このような攻撃は 世界中で常時発生しています。つまり「狙われている=異常」ではなく、**「狙われるのが前提」**なのが現在のインターネットです。
Fail2banとは?
ail2ban は、ログを監視して不正なアクセスを検知し、
自動的にファイアウォールで遮断(BAN)する仕組みを提供するツールです。
一言で言うと「ログを見て、怪しいIPを自動で追い出す番犬」