fail2ban

fail2banでアクセス制限

fail2banをインストールしてみる。

# aptitude install fail2ban

debianの場合、これだけでsshのアクセス制限ができてしまうようだ。

これで、ブルートフォースの執拗な攻撃を気にする必要は無くなる。ていうか、もともとsshのポートを開けなければいいのではあるが。どうしても出先からとかいじくってみたくなったりするのです。

実際にやってみると次のようになる。6回失敗すると拒否されてしまう。この後は、600秒経過しないとアクセスできない。

taki@beer:~$ ssh gojappe@tewasura.com
gojappe@tewasura.com's password: 
Permission denied, please try again.
gojappe@tewasura.com's password: 
Permission denied, please try again.
gojappe@tewasura.com's password: 
Permission denied (publickey,password).
taki@beer:~$ ssh gojappe@tewasura.com
gojappe@tewasura.com's password: 
Permission denied, please try again.
gojappe@tewasura.com's password: 
Permission denied, please try again.
gojappe@tewasura.com's password: 
Permission denied (publickey,password).
gojappe@beer:~$ ssh tewasura.com
ssh: connect to host tewasura.com port 22: Connection timed out

debianの場合、何の設定もしなければsshの制限だけだが、sshの他のポートについてもアクセス制限をかけることができる。そのうち、やってみようとは考えている。

fail2banの結果を追記する。こんな感じでlogwatchで報告してくれる。

 --------------------- fail2ban-messages Begin ------------------------


 Banned services with Fail2Ban:                          Bans:Unbans
   ssh:                                                    [  5:4  ]
      68.188.81.251 (68-188-81-251.static.stls.mo.charter.com)   1:1
      116.112.7.7                                             1:1
      202.102.88.34                                           1:1
      212.85.155.44 (star.vms.lost-oasis.net)                 1:1
      210.245.90.223                                          1:0

 ---------------------- fail2ban-messages End -------------------------

この時の/var/log/fail2ban.logはこんな感じ。

2010-12-14 02:36:24,551 fail2ban.actions: WARNING [ssh] Ban 68.188.81.251
2010-12-14 02:46:24,619 fail2ban.actions: WARNING [ssh] Unban 68.188.81.251
2010-12-14 03:23:37,731 fail2ban.actions: WARNING [ssh] Ban 202.102.88.34
2010-12-14 03:33:38,067 fail2ban.actions: WARNING [ssh] Unban 202.102.88.34
2010-12-14 04:46:46,159 fail2ban.actions: WARNING [ssh] Ban 116.112.7.7
2010-12-14 04:56:46,211 fail2ban.actions: WARNING [ssh] Unban 116.112.7.7
2010-12-14 06:52:36,700 fail2ban.actions: WARNING [ssh] Ban 212.85.155.44
2010-12-14 07:02:37,060 fail2ban.actions: WARNING [ssh] Unban 212.85.155.44
2010-12-14 23:53:07,264 fail2ban.actions: WARNING [ssh] Ban 210.245.90.223
2010-12-15 00:03:07,308 fail2ban.actions: WARNING [ssh] Unban 210.245.90.223

複数からの攻撃もこんな感じ。

 --------------------- pam_unix Begin ------------------------

省略

 sshd:
   Authentication Failures:
      root (68-188-81-251.static.stls.mo.charter.com): 4 Time(s)
      unknown (202.102.88.34): 4 Time(s)
      root (210.245.90.223): 3 Time(s)
      root (star.vms.lost-oasis.net): 3 Time(s)
      unknown (116.112.7.7): 2 Time(s)
      root (116.112.7.7): 1 Time(s)
   Invalid Users:
      Unknown Account: 6 Time(s)


 ---------------------- pam_unix End -------------------------

数千回以上の攻撃もこんな感じになる。

 --------------------- SSHD Begin ------------------------


 Illegal users from:
   68.188.81.251 (68-188-81-251.static.stls.mo.charter.com): 4 times
      root: 4 times
   116.112.7.7: 3 times
      admin: 1 time
      root: 1 time
      test: 1 time
   202.102.88.34: 4 times
      ant: 1 time
      bureau: 1 time
      office: 1 time
      pc: 1 time
   210.245.90.223: 3 times
      root: 3 times
   212.85.155.44 (star.vms.lost-oasis.net): 3 times
      root: 3 times

 Login attempted when not in AllowUsers list:
   root : 11 Time(s)

 ---------------------- SSHD End -------------------------
更新日時:2010/12/16 19:35:20
キーワード:
参照:[本日のメニュー]
このページは凍結されています。