Nginx + ModSecurity + Fail2ban + Docker => 3. Fail2ban 설정 방법

🍺 목차 🍺(보시려면 아래 더보기 를 눌러주세요.)

1. Nginx + ModSecurity + Fail2ban + Docker => 1. 취약한 웹사이트

2. Nginx + ModSecurity + Fail2ban + Docker => 2. ModSecurity + Fail2ban 설치

3. Nginx + ModSecurity + Fail2ban + Docker => 3. Fail2ban 설정 방법

4. Nginx + ModSecurity + Fail2ban + Docker => 4. Nginx Limit req 설정

5. Nginx + ModSecurity + Fail2ban + Docker => 5. Dockerhub 이미지 사용

---

 

1. fail2ban 란

   앞에서 설치한 fail2ban은 웹서버의 access.log 파일과 error.log 파일을 바라보고 있으면서, 일정 시간에 일정 횟수 이상의  접속 시도나 로그인 오류가 발생시 해당 아이피를 일정 시간동안 차단해 버리는 기능을 합니다. 

  또한, 서버에 ssh 접속을 위한 무차별 대입(brute force) 공격 차단에도 많이 활용되고 있습니다. 다만, 저같은 경우에는 클라우드 방화벽 설정에서 22번 포트에 대해서는 특정 아이피만 접속 가능하도록  설정을 하여 사용을 합니다.

 

2. fail2ban 설정

1) docker/fail2ban 폴더에 보면 filter.d 폴더가 있으며, 그 안에 각종 필터링 설정이 들어있습니다. 이 필터링값을 수정하여 원하는 정보만을 추출, 활용할 수 있습니다만, 저는 이 부분은 잘 몰라서 그냥 기본값을 사용합니다.

 

2) docker/fail2ban/jail.conf 파일 수정

이 파일 맨 아래를 보시면 아래와 같은 코드가 있습니다.

아래 코드는 nginx의 access.log 파일에서 nginx-dos 필터 형식의 로그가 120초 동안 200번 이상의 기록이 남겨질 경우 해당 아이피를 10분 동안 차단시키며, 10분이 지나면 자동으로 차단 해제가 된다는 뜻입니다.

[nginx-dos]
enabled  = true
port     = http,https
filter   = nginx-dos
logpath  = /usr/local/nginx/logs/*access*.log
findtime = 120   #얼마 시간동안 
maxretry = 200   #몇번의 시도가 넘으면
bantime  = 10m   #차단을 얼마 시간동안 시킬 것인가

 

위 코드를 테스트 해보기 위해, 시간을 아래와 같이 수정을 하였습니다.

[nginx-dos]
enabled  = true
port     = http,https
filter   = nginx-dos
logpath  = /usr/local/nginx/logs/*access*.log
findtime = 10   #10초 동안
maxretry = 3    #3번 이상의 접속 시도가 있을 경우
bantime  = 1m   #1분간 차단함.

 

컨테이너를 새로 생성한 후 localhost로 접속을 해봅니다. 그럼 access.log 파일에 기록이 남겨질 것이며, 이것을 fail2ban이 가져오는 것을 알 수 있습니다.

 

이제 브라우저에서 새로고침을 10초 안에 4번 이상을 누르면, 로그에 Ban이라고 찍히면서 해당 아이피가 차단이 됩니다. 이제 해당 아이피에서는 브라우저로 더이상 접속되지 않는 것을 볼 수 있습니다.

 

1분이 지나면 자동으로 로그에 Unban이 찍힌 후 다시 해당 아이피에서 접속이 됩니다.

이제 다시 원하시는 값으로 수정을 해놓으시면 됩니다.

 

3. fail2ban로 로그인 무차별 대입(brute force) 공격 차단 방법

1) 로그인 페이지(index.php)에서 대충 정보를 입력 후 로그인 버튼을 누르면, login_ok.php 페이지로 이동하며 정보를 확인하라 하면서, 다시 index.php로 돌아옵니다.

이때 access.log를 살펴보면 아래와 같은 정보가 있습니다.

 

만약 누군가가 무차별 대입 공격을 시도한다면, 위와 같은 로그가 엄청 쌓이게 될 것입니다. 

 

2) docker/fail2ban/filter.d/nginx-login.conf 파일을 열어 아래와 같이 수정해 줍니다.

#
# Login filter /etc/fail2ban/filter.d/nginx-login.conf:
#
# Blocks IPs that fail to authenticate using web application's log in page
#
# Scan access log for HTTP 200 + POST /sessions => failed log in
#
[Definition]
 
#failregex = ^<HOST> -.*POST /wp-login.php.* HTTP/1\.." 200
failregex = ^<HOST> -.*POST /login_ok.php.* HTTP/1\.." 200
 
ignoreregex =

 

3) docker/fail2ban/jail.conf 파일에서 [nginx-login] 부분을 찾아 아래와 같이 enabled를 true로 수정해 준 후, 원하는대로 findtime, maxretry, bantim 값을 지정합니다. (아래 예시는 1분동안 로그인 시도가 2번이 초과되면, 1분간 차단을 하라고 했습니다.)

그리고, 잘못된 로그인 시도를 3번째 하게되면, log에 Ban이라고 뜨며, 아래와 같이 접속이 되지 않는 것을 볼 수 있습니다. 물론 1분 후가 지나면 다시 해제가 됩니다.

이제 잘 동작하는 것을 확인하였으니, 다시 적당한 값으로 수정을 하시기 바랍니다.

 

4. fail2ban 명령어

1) fail2ban 명령어를 사용하기 위해서는 해당 컨테이너로 들어가야 합니다. 여기서는 front_nginx_cname 이라고 컨테이너 명을 주었기 때문에, 윈도우즈의 경우 터미널에 아래의 명령어를 사용하여 컨터이너 속으로 들어갑니다. 그럼 아래 그림처럼 뜨게 됩니다.

 

docker exec -it front_nginx_cname /bin/sh

 

2) fail2ban 상태 확인

fail2ban-client status

아래 그림은 현재 운영하고 있는 감옥이 5개라는 뜻...

 

3) fail2ban 감옥에 갇혀있는 = 차단된 아이피 확인

이때는 아래와 같이 감옥 이름을 입력해 주어야 합니다. 저의 경우 nginx-dos로 차단되어 있습니다.

fail2ban-client status nginx-dos

 

4) nginx-dos 감옥에서 172.22.0.1 을 풀어줍시다(차단 해제).  

fail2ban-client set nginx-dos unbanip 172.22.0.1

위 명령 중 unbanip 대신 banip 라고 입력하면 해당 아이피를 바로 차단시킬 수 있습니다.

이제 컨테이너에서 빠져나오려면 exit를 입력하면 됩니다.

 

5) 위 명령들은 컨테이너 속으로 들어가서 명령을 내렸기에 조금 귀찮습니다. 컨테어너 밖에서 아래와 같이 입력해도 상태 조회가 가능하고, 해당 아이피를 차단 해제 시킬 수 있습니다.

docker exec -it front_nginx_cname fail2ban-client set nginx-dos unbanip 172.22.0.1
 
docker exec -it front_nginx_cname fail2ban-client status nginx-dos

 

---

🍺🍺 작업한 모든 소스는 아래 링크에서 확인하실 수 있습니다. 🍺🍺

https://github.com/mmssem/ModSecurityFail2ban/releases/tag/최종파일

Release 최종파일 · mmssem/ModSecurityFail2ban

---