19. fail2banの設定
この章では、Oracle Linux 8でのfail2ban等のセキュリティ設定について記述しています。
ここまでの設定で、メールサーバーの設定に一応のめどのついた私は、とりあえず設置して試験運用を開始してみました。そして一日後にログを確認してみると、以下のようなログが大量に流れていました。一部抜粋して掲載します。
Aug 22 23:54:15 www postfix/smtpd[932428]: warning: unknown[212.70.149.4]: SASL LOGIN authentication failed
Aug 22 23:54:26 www postfix/smtpd[932494]: warning: unknown[212.70.149.20]: SASL LOGIN authentication failed
Aug 22 23:54:43 www postfix/smtpd[365094]: warning: unknown[212.70.149.83]: SASL LOGIN authentication failed
これは、パスワードを破ろうとしているものです。予想よりは早かったですが、いずれは悪質なハッカーに発見されて、攻撃が開始されるだろうと思っていたので、すぐさま、以下のコマンドでPostfixとDovecotを停止しました。
sudo systemctl stop postfix
sudo systemctl stop dovecot
そして念のため、passwdコマンドを使って、すべてのユーザーのパスワードを変更しました。
なお、設定が全て終わって、Postfix/Dovecotを起動するためのコマンドは、以下のようになります。
sudo systemctl start dovecot
sudo systemctl start postfix
とりあえずの処置として、Postfixの設定で、これらのIPアドレスからの接続を拒否するようにしました。
/etc/postfix/main.cfファイルを編集します。
sudo vim /etc/postfix/main.cf
760行目辺りを、以下のように変更します。
変更前
smtpd_recipient_restrictions =
permit_mynetworks,
reject_unknown_hostname,
permit_auth_destination,
permit_sasl_authenticated,
reject
変更後
smtpd_recipient_restrictions =
permit_mynetworks,
reject_rbl_client 212.70.149.83,
reject_rbl_client 212.70.149.20,
reject_rbl_client 212.70.149.4,
reject_unknown_hostname,
permit_auth_destination,
permit_sasl_authenticated,
reject
reject_rbl_clientの設定は、必ずpermit_mynetworksの直後に書くようにしてください。これにより、LAN内部を優先的に許可したすぐあとに、指定したアドレスを拒否できるようになります。
次に、一定回数認証に失敗すると接続を拒否するセキュリティツールである、fail2banの設定を行います。
/etc/fail2ban/jail.localファイルを作成し、編集します。
sudo vim /etc/fail2ban/jail.local
以下のように内容を編集します。
[DEFAULT]
destemail = root
sender = root
usedns = yes
bantime = (時間)
findtime = (時間)
maxretry = (回数)
mta = postfix
time_offset = 9
[sshd]
enabled = true
port = ssh,10022
blocktype = DROP
[postfix]
enabled = true
mode = aggressive
blocktype = DROP
[postfix-sasl]
enabled = true
blocktype = DROP
[dovecot]
enabled = true
port = pop3,pop3s,imap,imaps,submission,465,sieve,10037
blocktype = DROP
[apache-auth]
enabled = true
blocktype = DROP
maxretry = (回数)
[apache-overflows]
enabled = true
blocktype = DROP
maxretry = (回数)
[apache-badbots]
enabled = true
blocktype = DROP
maxretry = (回数)
[php-url-fopen]
enabled = true
blocktype = DROP
[apache-shellshock]
enabled = true
blocktype = DROP
maxretry = (回数)
[recidive]
enabled = true
blocktype = DROP
action = iptables-allports[name=recidive]
bantime = (時間)
findtime = (時間)
maxretry = (回数)
[DEFAULT]の部分がデフォルトの動作を設定する部分で、それ以外の[ ]で囲まれた部分が、監獄と呼ばれる、接続を拒否(これをBANするといいます)するアドレスを収監する部分です。
bantimeに接続を拒否する時間を、findtimeに不正接続を発見する時間間隔を、maxretryに接続失敗を許す回数をそれぞれ設定します。上記の(時間)の部分には、数字を書くと秒で、数字の後ろにmを付けると分で、hで時間で、dで日で、yで年と指定できます。よって、bantime=1y、findtime=20m、maxretry=3と書けば、20分間に3回間違えると、1年間接続を拒否します。なお、bantime=-1と指定すると、手動で解除しないかぎり、永遠に拒否されます。
time_offsetの部分は日本の標準時を示す9を指定します(グリニッジ標準時との時差=9時間です)。これをしないと、一部の監獄では警告が表示されるようになったので。
[sshd]の部分がSSHサーバー用の監獄になります。portのところに、変更したポート番号(本稿の例だと10022)を指定しています。enabled=trueと指定することで、この監獄が有効になります。また、blocktype=DROPの部分は、だまって受信パケットを破棄する設定です。これをしますと、相手からすれば、サーバーが落ちているのか、パケットを破棄しているのかが分からなくなります。
[postfix]の部分が、Postfix用の監獄設定です。[postfix-sasl]の部分は、SASL認証という部分の設定ですが、おそらくはなくても動作すると思います。しかし、一応設定しておきます。mode=aggressiveの部分は、実はとても重要な設定です。これがないと、一部の不審な接続が見逃されてしまいます。実際、今回アタックをかけて来ていた、3つのIPアドレスも見逃してしまっていました。
なにが悪かったのかがまたしても分からず、再び七転八倒しながらネットの情報をあさっていたのですが、これという情報が得られませんでした。半ばあきらめかけたとき、なんとなくpostfix監獄用のフィルターと呼ばれる設定ファイルを眺めてみると、以下のような記述を発見しました。
# Parameter "mode": more (default combines normal and rbl), auth, normal, rbl, ddos, extra or aggressive (combines all)# Usage example (for jail.local):
# [postfix]
# mode = aggressive
#
# # or another jail (rewrite filter parameters of jail):
# [postfix-rbl]
# filter = postfix[mode=rbl]
#
# # jail to match "too many errors", related postconf `smtpd_hard_error_limit`:
# # (normally included in other modes (normal, more, extra, aggressive), but this jail'd allow to ban on the first message)
# [postfix-many-errors]
# filter = postfix[mode=errors]
# maxretry = 1
#
mode = more
なにもネット上で情報を必死になって探さなくても、ごく身近なところに答えが書いてありました。自分の愚かさ加減にしばらく悶絶しましたが、このmode=aggressiveを設定すると、以下のようなログ(一部抜粋)が流れ、無事にBANされました。
2020-08-23 14:48:10,708 fail2ban.actions [6568]: NOTICE [postfix] Ban 212.70.149.83
2020-08-23 14:48:10,710 fail2ban.filter [6568]: INFO [recidive] Found 212.70.149.83 - 2020-08-23 14:48:10
2020-08-23 14:48:11,641 fail2ban.actions [6568]: NOTICE [postfix] Ban 212.70.149.20
2020-08-23 14:48:11,645 fail2ban.filter [6568]: INFO [recidive] Found 212.70.149.20 - 2020-08-23 14:48:11
再びjail.localの設定の内容の説明を続けます。
[dovecot]の部分がDovecot用の監獄の設定になります。ここも、変更したポート番号をportに書き加えます。本稿の例ですと、10037になります。
[apache-auth]、[apache-overflows]、[apache-badbots]、[php-url-fopen]、[apache-shellshock]の部分は、いずれもWebサーバーのApache用の設定になります。詳しくはこちらのサイトをご確認ください。
[recidive]の部分は、しつこい再犯者用の専用の監獄です。何度もBANされるようなふるまいをする不埒な輩をBANする、島流しの監獄です。ですので、bantime=2yのような、2年とかの長期島流しにするように設定しましょう。もしくはここに-1を指定し、終身刑でも良いでしょう。
このrecidive監獄で最も苦労したのは、action=から始まる部分の設定です。デフォルトですと、エラーが表示されてうまく動作しませんでした。どうも、0~65535の全てのポートでブロックしようとするのですが、その部分がうまく動作していないようでした。ですので、この部分だけiptablesを利用するように変更すると、きちんと動作しました。
ただ、この設定でもBANした時にエラーが表示されることがあります。どうやら、何かをチェックした時にエラーになっているようです。テストした限りではそれでも動作するのですが、気持ち悪い方はfail2banを再起動してください。それでエラーは出なくなりますので。
ここまで設定していて気付いたのですが、firewalldのステータスをみると、AllowZoneDrifting is enabled.という警告が表示されている事に気づきました。この警告の詳しい意味は、このサイトを参照してください。とりあえず、この警告が出なくする設定方法も、合わせて記述しておきます。
/etc/firewalld/firewalld.confを編集します。
sudo vim /etc/firewalld/firewalld.conf
最終行を以下のように変更します。
変更前
AllowZoneDrifting=yes
変更後
#AllowZoneDrifting=yes
AllowZoneDrifting=no
ファイアーウォールを再起動します。
sudo systemctl restart firewalld
ここからは、fail2banやファイアーウォールの、セキュリティ用の運用方法を記述します。
fail2banの動作確認などをテストする場合は、ログレベルを変更したほうがいいでしょう。テスト用に一番詳細なデバッグレベルでのログ出力をするには、以下のコマンドを実行します。
sudo fail2ban-client set loglevel DEBUG
なお、ここに指定できる値は、以下のものがあるようです(fail2banの設定ファイルから抜粋)。
# Option: loglevel
# Notes.: Set the log level output.
# CRITICAL
# ERROR
# WARNING
# NOTICE
# INFO
# DEBUG
ログレベルを元に戻すには、以下のコマンドを実行します。
sudo fail2ban-client set loglevel INFO
なお、DEBUGレベルで実行する際は、テストマシンのDNSサーバーをこのサーバー(192.168.0.2)から、元のルーター(192.168.0.254)に戻しておいてください。そうしないと、テストマシンがDNSを探しに行って拒否されるログが延々と流れてしまいますので。
ちなみに、fail2banのログの最後の部分を表示し続けるには、以下のコマンドを用います。
sudo tail -f /var/log/fail2ban.log
停止させるには、[Ctrl]を押しながらCを押します。tailコマンドの詳細については、参考書を見てください。RLoginの画面分割機能を利用して、一つの画面でログの末尾を表示し続けながらテストすると、動作している様子が分かりやすくなるかと思います。
なお、メールのログの末尾を表示し続けるには、以下のようにします。
sudo tail -f /var/log/maillog
最後の引数の部分を、/var/log/secureにすると、SSHサーバーのログが表示されますし、/var/log/httpd/access_logにしますと、Webサーバーのアクセスログが表示されます。これらのログの指定先などは、やはり、参考書を参照してください。
fail2banの解説をしているサイトはいろいろとあるのですが、中には、ログレベルをNOTICE以上にして、実際にBANされた情報のみを表示させている人もいるようですが、これはあまりお勧めしません。
と、いいますのも、BANされるまでしつこくは繋ぎに来ない不審者の中には、スキャナといって、世界中のサーバーを検索しているものもあるからです。それらを見つけ、後述する方法でブロックしなければ、悪質なハッカーがいつまでたっても寄ってきてしまいます。ですので、一日一回はログを精査する癖をつけたほうが良いでしょう。
手動でBANする方法を記述します。以下のコマンドを実行します。
sudo fail2ban-client set recidive banip 212.70.149.4
手動でBANするぐらいですから、島流しか終身刑相当でしょう。上記の例では、recidive監獄送りにしています。recidiveの部分をpostfixにすれば、postfix監獄行きになります。この部分は、jail.localの各種の監獄名を指定します。
後ろの212.70.149.4の部分が、実際にBANするIPアドレスです。ログファイルを精査して、BAN相当とみなしたIPアドレスは、どんどんBANしていきましょう。
間違ってBANしてしまい、釈放したい場合には以下のようにします。
sudo fail2ban-client set postfix unbanip 192.168.0.1
banipの部分がunbanipに変わっただけで、意味は同じです。各種監獄名やIPアドレスを指定して釈放手続きを行ってください。
どの監獄行きになったかわからなくなった場合は、以下のコマンドで確認できます。
sudo fail2ban-client status postfix
上記の例は、postfix監獄の受刑者をIPアドレスで表示します。この監獄名を変えながら実行すると良いでしょう。
IPアドレス単体ではなく、範囲指定してBANしたい場合には、ファイアーウォールの機能を利用すると良いでしょう。以下のようなコマンドを実行します。
なお、ファイアウォールの再起動後にfail2banも再起動していますが、再起動しないとfail2banが上手く動作しないことがあったためです。ですから、ファイアウォールを再起動したら、セットでfail2banも再起動するようにしてください。
sudo firewall-cmd --zone=drop --permanent --add-source=212.70.149.0/24
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
上記の例ですと、212.70.149から始まるすべてのアドレスを受信破棄します。/の後ろの数字は、サブネットマスクの長さです。サブネットマスクについては本稿では説明しません。参考書を読んでください。少しだけ説明すると、後ろの数字を16にしますと、212.70から始まるすべてのアドレスを受信破棄するようになります。
範囲指定したBANが間違っていた場合の釈放手続きは、以下のようになります。
sudo firewall-cmd --zone=drop --permanent --remove-source=212.70.149.0/24
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
なお、fail2banでBANする場合は、自分自身はBANできないようです。ignoreselfというルールがデフォルトで設定されているようです。ご注意ください。
ここからは、私の環境で運用してみて、受信破棄したほうが良いアドレス範囲を記述しておきます。
私の自宅サーバーに来た不審者の中には、東京のIPアドレスを持つものもいました。ipip.netというところからの接続だったのですが、ログを詳細に解析した結果、どうやらポートスキャンと呼ばれる、攻撃の下準備を行っていたようでした。インターネットで調べた結果、そのプロバイダへの連絡先が見つかりましたので、全然関係のないメアドから抗議を行ったのですが、いまだに弁明も謝罪もありません。どうやら、プロバイダ自ら犯罪的行為(犯罪行為ではありません。残念ながら)に手を貸す、悪質なプロバイダのようです。以下のコマンドを実行し、受信破棄を設定することを、強く推奨します。
sudo firewall-cmd --zone=drop --permanent --add-source=139.162.0.0/16
sudo firewall-cmd --zone=drop --permanent --add-source=103.203.56.0/22
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
これを実行しませんと、自分のサーバーの情報が悪質なハッカーに渡され、付きまとわれる危険性があります。ぜひとも設定しましょう。
また、世界には大規模なサーバー群を用意し、世界中のサーバーをスキャンして巡回する、大規模な悪質なハッカー集団も存在します。これらは、censys-scanner.comやinternet-census.orgの名前で来るようです。以下のコマンドを実行し、受信破棄しましょう。
sudo firewall-cmd --zone=drop --permanent --add-source=74.120.14.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=162.142.125.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=167.248.133.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=192.35.161.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=192.35.162.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=192.35.163.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=192.35.164.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=192.35.165.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=192.35.166.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=192.35.167.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=192.35.168.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=192.35.169.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=192.35.170.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=69.175.0.0/17
sudo firewall-cmd --zone=drop --permanent --add-source=198.108.66.0/23
sudo firewall-cmd --zone=drop --permanent --add-source=107.6.128.0/18
sudo firewall-cmd --zone=drop --permanent --add-source=184.154.0.0/16
sudo firewall-cmd --zone=drop --permanent --add-source=198.143.128.0/18
sudo firewall-cmd --zone=drop --permanent --add-source=198.20.64.0/18
sudo firewall-cmd --zone=drop --permanent --add-source=65.60.0.0/18
sudo firewall-cmd --zone=drop --permanent --add-source=193.118.32.0/19
sudo firewall-cmd --zone=drop --permanent --add-source=185.180.140.0/22
sudo firewall-cmd --zone=drop --permanent --add-source=128.1.0.0/16
sudo firewall-cmd --zone=drop --permanent --add-source=199.45.154.0/23
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
私が確認しただけでも、少なくとも20台以上のサーバーが存在します。このような悪辣な組織に多数のIPアドレスを提供している、Merit Network Inc.という会社をはじめ、これらの反社会的活動に手を貸すプロバイダは、プロバイダの管理する範囲ごと受信破棄の設定をすることを、強く推奨します。
また、他にも悪質なサーバーは存在します。
netsystemresearch.comという集団からも、バラバラな国から執拗にスキャンが来ます。以下のコマンドを実行しましょう。
sudo firewall-cmd --zone=drop --permanent --add-source=92.118.160.0/23
sudo firewall-cmd --zone=drop --permanent --add-source=102.165.30.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=196.52.43.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=185.173.32.0/22
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
security-research.orgという集団も、同じようなことをしに来ます。自らをsecurityとかresearchとか名乗っているものほど悪辣です。だまされてはいけません。以下のコマンドを実行しましょう。
sudo firewall-cmd --zone=drop --permanent --add-source=104.248.0.0/16
sudo firewall-cmd --zone=drop --permanent --add-source=157.245.0.0/16
sudo firewall-cmd --zone=drop --permanent --add-source=161.35.0.0/16
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
census.shodan.ioという集団からも、執拗にスキャンが来ます。以下のコマンドを実行しましょう。
sudo firewall-cmd --zone=drop --permanent --add-source=89.248.160.0/20
sudo firewall-cmd --zone=drop --permanent --add-source=185.142.239.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=195.144.21.0/24
sudo firewall-cmd --zone=drop --permanent --add-source=216.117.2.176/28
sudo firewall-cmd --zone=drop --permanent --add-source=185.142.236.0/22
sudo firewall-cmd --zone=drop --permanent --add-source=185.181.100.0/22
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
shadowserver.orgという集団からも、執拗にスキャンが来ます。以下のコマンドを実行しましょう。
sudo firewall-cmd --zone=drop --permanent --add-source=65.49.0.0/17
sudo firewall-cmd --zone=drop --permanent --add-source=184.104.0.0/15
sudo firewall-cmd --zone=drop --permanent --add-source=216.218.128.0/17
sudo firewall-cmd --zone=drop --permanent --add-source=74.82.0.0/18
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
富士通の管理範囲からttb3-ip144.user.xsp.fenics.jpを名乗るホスト名でスキャンを検出しました。判断を保留していますがスキャンされたのは事実ですので、個別IPアドレス指定して拒否しておくことをおすすめします。
sudo fail2ban-client set recidive banip 202.248.186.144
sudo systemctl restart fail2ban
spyse.comという集団からも、執拗にスキャンが来ます。以下のコマンドを実行しましょう。
sudo firewall-cmd --zone=drop --permanent --add-source=137.184.0.0/16
sudo firewall-cmd --zone=drop --permanent --add-source=147.182.128.0/17
sudo firewall-cmd --zone=drop --permanent --add-source=165.232.128.0/18
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
binaryedge.ninjaという集団からも、執拗にスキャンが来ます。以下のコマンドを実行しましょう。
sudo firewall-cmd --zone=drop --permanent --add-source=173.255.192.0/18
sudo firewall-cmd --zone=drop --permanent --add-source=64.227.128.0/18
sudo firewall-cmd --zone=drop --permanent --add-source=194.195.240.0/20
sudo firewall-cmd --zone=drop --permanent --add-source=96.126.96.0/19
sudo firewall-cmd --zone=drop --permanent --add-source=139.177.176.0/20
sudo firewall-cmd --zone=drop --permanent --add-source=170.187.128.0/17
sudo firewall-cmd --zone=drop --permanent --add-source=176.58.96.0/19
sudo firewall-cmd --zone=drop --permanent --add-source=192.81.208.0/20
sudo firewall-cmd --zone=drop --permanent --add-source=69.164.192.0/19
sudo firewall-cmd --zone=drop --permanent --add-source=45.56.64.0/18
sudo firewall-cmd --zone=drop --permanent --add-source=104.237.128.0/19
sudo firewall-cmd --zone=drop --permanent --add-source=23.92.16.0/20
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
contaboserver.netという集団からも、執拗にスキャンが来ます。以下のコマンドを実行しましょう。
sudo firewall-cmd --zone=drop --permanent --add-source=38.0.0.0/8
sudo firewall-cmd --zone=drop --permanent --add-source=161.97.160.0/20
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
cyberresilience.ioという集団からも、執拗にスキャンが来ます。以下のコマンドを実行しましょう。
sudo firewall-cmd --zone=drop --permanent --add-source=143.244.128.0/17
sudo firewall-cmd --zone=drop --permanent --add-source=24.199.64.0/18
sudo firewall-cmd --zone=drop --permanent --add-source=24.144.64.0/18
sudo firewall-cmd --zone=drop --permanent --add-source=64.226.64.0/18
sudo firewall-cmd --zone=drop --permanent --add-source=146.190.0.0/16
sudo firewall-cmd --zone=drop --permanent --add-source=198.211.96.0/19
sudo firewall-cmd --zone=drop --permanent --add-source=209.38.0.0/16
sudo firewall-cmd --zone=drop --permanent --add-source=152.42.128.0/17
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
stretchoid.comという集団からも、執拗にスキャンが来ます。以下のコマンドを実行しましょう。
sudo firewall-cmd --zone=drop --permanent --add-source=4.144.0.0/12
sudo firewall-cmd --zone=drop --permanent --add-source=172.208.0.0/13
sudo firewall-cmd --zone=drop --permanent --add-source=51.8.0.0/16
sudo firewall-cmd --zone=drop --permanent --add-source=172.200.0.0/13
sudo firewall-cmd --zone=drop --permanent --add-source=4.240.0.0/12
sudo firewall-cmd --zone=drop --permanent --add-source=57.150.0.0/12
sudo firewall-cmd --zone=drop --permanent --add-source=40.80.0.0/12
sudo firewall-cmd --zone=drop --permanent --add-source=48.216.0.0/14
sudo firewall-cmd --zone=drop --permanent --add-source=104.40.0.0/13
sudo firewall-cmd --zone=drop --permanent --add-source=40.112.0.0/13
sudo firewall-cmd --zone=drop --permanent --add-source=104.208.0.0/13
sudo firewall-cmd --zone=drop --permanent --add-source=20.40.0.0/13
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
probe.onyphe.netという集団からも、執拗にスキャンが来ます。以下のコマンドを実行しましょう。
sudo firewall-cmd --zone=drop --permanent --add-source=142.4.192.0/19
sudo firewall-cmd --zone=drop --permanent --add-source=40.160.0.0/16
sudo firewall-cmd --zone=drop --permanent --add-source=147.135.0.0/17
sudo firewall-cmd --zone=drop --permanent --add-source=137.74.0.0/16
sudo firewall-cmd --zone=drop --permanent --add-source=79.137.0.0/18
sudo firewall-cmd --zone=drop --permanent --add-source=135.148.0.0/16
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
survey.inspici.comという集団からも、執拗にスキャンが来ます。以下のコマンドを実行しましょう。
sudo firewall-cmd --zone=drop --permanent --add-source=45.84.88.0/22
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
diligent.monitoring.internet-measurement.comという集団からも、執拗にスキャンが来ます。以下のコマンドを実行しましょう。
sudo firewall-cmd --zone=drop --permanent --add-source=185.247.137.0/24
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
deepfield.netという集団からも、執拗にスキャンが来ます。以下のコマンドを実行しましょう。
sudo firewall-cmd --zone=drop --permanent --add-source=104.234.0.0/16
sudo firewall-cmd --reload
sudo systemctl restart fail2ban
これらの他にも、小規模集団と思われるサーバーからのスキャンも来ます。本当に多種類あるのですが、shodanやstretchoid等と名乗っていれば悪質なハッカー確定ですので、こまめにログを精査して、遮断するように設定しましょう。
このように、悪質なハッカーから自衛するためには、こまめな努力が必須です。ログを調べることをめんどくさいと思えるようでしたら、できれば、メールサーバーの運用は個人ではしない方がいいと思いますので、頑張って防衛してくださればうれしいです。