[Memo2011][ITPASS]fail2ban のインストール
概要
サーバへの不正アクセスがたびたびあるため, その対策として fail2ban をインストールした.
tako 編
fail2ban のインストール
以下のコマンドを実行し, fail2ban をインストールした.
$ sudo -s # apt-get install fail2ban
設定ファイルを確認する
設定ファイルは, /etc/fail2ban/jail.conf である. 以下は, 設定の一部抜粋を記載している.
# "ignoreip" can be an IP address, a CIDR mask or a DNS host ignoreip = 127.0.0.1 bantime = 600 findtime = 600 maxretry = 3 # Destination email address used solely for the interpolations in # jail.{conf,local} configuration files. destemail = root@localhost * ignoreip: 不正アクセスとして扱わないアクセス元を指定. * bantime: 不正アクセスと認めたときに, アクセスを何秒遮断するか指定. * findtime, maxretry: findtime 秒間のうちに maxretry 回失敗すると不正アクセスとみなされる. * destemail: 不正アクセスが認められたときのメールの送り先.
fail2ban を起動する
# /etc/init.d/fail2ban start
テスト
TeraTarm から架空のアカウントでログインしようとしたところ, 5 回失敗すると接続が切られ, 以下のメッセージが表示された.
現在のステージでは想定外の SSH2 メッセージ (1) です. (5) サーバに次の理由で切断されました "Too many authentication failures for hoge".
上記の作業を 5 回行い, さらに同じアカウントで 3 回ログインしようとしたところ, 端末の画面が真っ白になり接続が切られた. その後, 10 分間は同じ IP アドレスからは接続できなくなった.
/var/log/fail2ban.log を確認すると, 以下の記述が書かれていた.
2011-08-05 14:35:32,402 fail2ban.actions: WARNING [ssh] Ban 133.30.109.48
不正アクセスが Ban されると, root 宛にメールが送られてくるはずだがなぜかできない... 後に設定を行った.
10 分後, 接続ができなくなっていた IP アドレスからの接続が可能になった. /var/log/fail2ban.log を確認すると, 以下の記述が書かれていた.
2011-08-05 14:45:32,418 fail2ban.actions: WARNING [ssh] Unban 133.30.109.48
設定の変更
不正アクセスが Ban された際に email が送られるように設定する.
/etc/fail2ban/jail.conf の [ssh] の欄に以下の記述を追記した.
[ssh] action = iptables[name=SSH, port=ssh, protocol=tcp] sendmail-whois[name=SSH, dest=root, sender=tako-itpass@localhost]
テストと同じ作業を行ったが, メールが送られてこない... そこで, Ban / Unban の動作がシステムログメールに記載されるように設定を行った.
挙動がシステムログメールに記載されるように設定
スクリプトを作成
今回は, すでにある 800_loginfail に以下の記述を追記した.
# Show Ban/Unban IP addresses # yesterday2=`date "+%Y-%m-%d" --date "1 days ago"` /bin/echo -e "**** `hostname -f` Ban/Unban reports ****" lv $LOG/fail2ban.log | grep $yesterday2 | grep WARNING /bin/echo -e ""
スクリプトの設置
作成したスクリプトをすでにある /etc/cron.local/daily/800_loginfail と置き換えた.
テスト
情報実験機などから tako-itpass に存在しないアカウント名を使ってアタックした. すると /var/log/fail2ban.log に以下の記述が書かれた.
2011-08-31 15:37:44,864 fail2ban.actions: WARNING [ssh] Ban 133.30.110.209 2011-08-31 15:47:44,884 fail2ban.actions: WARNING [ssh] Unban 133.30.110.209
上記の内容が, 翌日の tako のシステムログメールにも書かれていることを確認した.
ika 編
2011/08/09 に fail2ban を ika-itpass にインストールを行った. 作業者・ロガー: 高橋由実子
インストール
- apt-get でインストールした
root@ika-itpass:~# apt-get install fail2ban
iptable -L でインストールされたことを確認. 以下のように表示された.
root@ika-itpass:~# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain fail2ban-ssh (1 references) target prot opt source destination RETURN all -- anywhere anywhere
設定ファイルの変更
/etc/fail2ban/fail2ban.conf を設定する. 設定ファイルのもとを残しておくために, jail.local をつくってコピーし, local のほうのファイルの設定を変える.
root@ika-itpass:~# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
jail.local を見てみる ファイルを以下の部分を書き換える
destemail = itpadmin@localhost [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 6
ika では sendmail ではなく qmail を使っているが, 調べてみても mta を qmail に書き換える, などのドキュメントが 見つからなかったため, そのままにしている.
fail2ban が動いているか確認する
# /etc/init.d/fail2ban status Status of authentication failure monitor:fail2ban is running.
サービスの停止・開始は以下のように行う
# /etc/init.d/fail2ban stop Stopping fail2ban: .done # /etc/init.d/fail2ban start Starting fail2ban: .done
- 現在は (いろいろあって) local はバックアップ (jail.conf.bk) として, 結局jail.conf を直接読むようにしている.
接続テスト
情報実験機より, 存在しないユーザ名で ika に ssh を行った.
takahasu@joho04-itpass:~$ ssh hoge@133.30.109.22 The authenticity of host '133.30.109.22 (133.30.109.22)' can't be established. RSA key fingerprint is c2:82:8e:fc:d0:95:3c:a5:f5:48:0f:8d:56:89:91:97. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '133.30.109.22' (RSA) to the list of known hosts. Permission denied (publickey). takahasu@joho04-itpass:~$ ssh hogege@133.30.109.22 Permission denied (publickey). (省略) takahasu@joho04-itpass:~$ ssh hogegegegegege@133.30.109.22 ssh: connect to host 133.30.109.22 port 22: Connection timed out
7 回目のログイン時に最後のように表示された. ika で ssh が ban されているか確認した.
root@ika-itpass:~# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh (省略) Chain fail2ban-ssh (1 references) target prot opt source destination DROP all -- joho04-itpass.scitec.kobe-u.ac.jp anywhere RETURN all -- anywhere anywhere
ログに記録されているか確認した
root@ika-itpass:/var/log# lv fail2ban.log 2011-08-09 18:58:09,132 fail2ban.actions: WARNING [ssh] Ban 133.30.110.204
daily のログに ban, unban を出力するようにする (09/03 作業)
- tako より /etc/cron.local/daily/800_loginfail をコピーし, ika のものと置き換えた.
- 以前の 800_loginfail は 800_loginfail.bk としてバックアップ.
- joho04-itpass(133.30.110.204) より 6 回存在しない名前でログインして ban されたことを確認した.
- 次の日のログに出力されていることを確認した.
/etc/cron.local/daily/800_loginfail: **** ika-itpass.scitec.kobe-u.ac.jp login failures **** **** ika-itpass.scitec.kobe-u.ac.jp Ban/Unban reports **** 2011-09-02 18:59:38,138 fail2ban.actions: WARNING [ssh] Ban 133.30.110.204 2011-09-02 19:09:38,154 fail2ban.actions: WARNING [ssh] Unban 133.30.110.204
- 変更した 800_loginfail を ~itapss/ftp/server/2011/system_report/ に格納した.
apache に関する設定
設定ファイルの書き換え
- jail.conf の apache に関する設定を以下のように書き換えた.
[apache] enabled = true port = http,https filter = apache-auth findtime= 60 logpath = /var/log/httpd-error.log maxretry = 30 bantime = 600 # default action is now multiport, so apache-multiport jail was left # for compatibility with previous (<0.7.6-2) releases [apache-multiport] enabled = true port = http,https filter = apache-auth findtime = 10 logpath = /var/log/httpd-access.log maxretry = 30 bantime = 120
multiport の意味はよく理解していないが, 挙動を見る限り apache と同じと思われるので, apache ではエラーログを, apache-multiport ではアクセスログを監視するようにすることにした.
findtime, maxretry については, パーミッションが悪いページがある(たとえば sekki さんの Rain のあたり)ので, このぐらいが妥当と思われる. アクセスはエラーよりも緩くしてある.
failregex の追加
- /etc/fail2ban/filter.d/apache-auth.conf の failregex を以下のように編集した.
- failregex を設定すると, その設定に対応したログのメッセージをカウントし, findtime 以内に maxretry 回, 同じ IP アドレスからのメッセージがカウントされるとその IP アドレスからのアクセスが ban される.
- ignoreregex は failregex で設定したもののうち, カウントしたくないメッセージがある場合に設定する.
failregex = [[]client <HOST>[]] user .* authentication failure [[]client <HOST>[]] user .* not found [[]client <HOST>[]] user .* password mismatch [[]client <HOST>[]] (13)Permission denied: [[]client <HOST>[]] File does not exist: ^<HOST> -.*GET.* <-- access ログを監視するための構文 # Option: ignoreregex # Notes.: regex to ignore. If this regex matches, the line is ignored. # Values: TEXT # ignoreregex = ^<HOST> -.*GET.*sekki.* <-- 今関さんの例外 ignoreregex = ^<HOST> -.*GET.*(jpg|jpeg|gif|png).*
- sekki さんのページは画像があるディレクトリの others に読み取り権限がないので大量のエラーが出てしまっているため, sekki さんのページは例外にした
- 一つの html ページに画像がたくさん貼付けてあるとそれだけで引っかかってしまう. そのため, png, jpg(jpeg), gif についても ignore に追加した.
- (追記) sekki さんの例外については, エラーが出るのが画像ファイルであり, 2 行目の ignoreregex に含まれるので, その一文は後で消した.
動作テスト
- error のテスト
- fail2ban を再起動し, ブラウザを立ち上げ, itpass 以下の others にパーミッションがないところ, (例えば ITPASS 実習の ppt/odp ファイル) や itpass ドメイン以下の実在しない URL を入力して, findtime 以内に maxretry 回以上アクセスした.
- runtime error になった.
- iptables -L を見て, アクセスした IP アドレスが ban されていることを確認した.
- access のテスト
- ブラウザから画像のリンクなど多いページなどを何回か更新してみた.
- itpass の実習風景とかを 2,3 回更新すればいい
- runtime error になった
- ブラウザから画像のリンクなど多いページなどを何回か更新してみた.
補足
- fail2ban.conf の中のログレベルは 3 にする(デフォルト)
- ban, unban の記録がログに出力されるレベル
# Option: loglevel # Notes.: Set the log level output. # 1 = ERROR # 2 = WARN # 3 = INFO # 4 = DEBUG # Values: NUM Default: 3 # loglevel = 3
Keyword(s):
References:[[ITPASS2011]2011年度サーバ構築ログ]