fail2ban
fail2banでアクセス制限
fail2banをインストールしてみる。
# aptitude install fail2ban
debianの場合、これだけでsshのアクセス制限ができてしまうようだ。
これで、ブルートフォースの執拗な攻撃を気にする必要は無くなる。ていうか、もともとsshのポートを開けなければいいのではあるが。どうしても出先からとかいじくってみたくなったりするのです。
実際にやってみると次のようになる。6回失敗すると拒否されてしまう。この後は、600秒経過しないとアクセスできない。
taki@beer:~$ ssh gojappe@tewasura.com gojappe@tewasura.com's password: Permission denied, please try again. gojappe@tewasura.com's password: Permission denied, please try again. gojappe@tewasura.com's password: Permission denied (publickey,password). taki@beer:~$ ssh gojappe@tewasura.com gojappe@tewasura.com's password: Permission denied, please try again. gojappe@tewasura.com's password: Permission denied, please try again. gojappe@tewasura.com's password: Permission denied (publickey,password). gojappe@beer:~$ ssh tewasura.com ssh: connect to host tewasura.com port 22: Connection timed out
debianの場合、何の設定もしなければsshの制限だけだが、sshの他のポートについてもアクセス制限をかけることができる。そのうち、やってみようとは考えている。
fail2banの結果を追記する。こんな感じでlogwatchで報告してくれる。
--------------------- fail2ban-messages Begin ------------------------
Banned services with Fail2Ban: Bans:Unbans
ssh: [ 5:4 ]
68.188.81.251 (68-188-81-251.static.stls.mo.charter.com) 1:1
116.112.7.7 1:1
202.102.88.34 1:1
212.85.155.44 (star.vms.lost-oasis.net) 1:1
210.245.90.223 1:0
---------------------- fail2ban-messages End -------------------------
この時の/var/log/fail2ban.logはこんな感じ。
2010-12-14 02:36:24,551 fail2ban.actions: WARNING [ssh] Ban 68.188.81.251 2010-12-14 02:46:24,619 fail2ban.actions: WARNING [ssh] Unban 68.188.81.251 2010-12-14 03:23:37,731 fail2ban.actions: WARNING [ssh] Ban 202.102.88.34 2010-12-14 03:33:38,067 fail2ban.actions: WARNING [ssh] Unban 202.102.88.34 2010-12-14 04:46:46,159 fail2ban.actions: WARNING [ssh] Ban 116.112.7.7 2010-12-14 04:56:46,211 fail2ban.actions: WARNING [ssh] Unban 116.112.7.7 2010-12-14 06:52:36,700 fail2ban.actions: WARNING [ssh] Ban 212.85.155.44 2010-12-14 07:02:37,060 fail2ban.actions: WARNING [ssh] Unban 212.85.155.44 2010-12-14 23:53:07,264 fail2ban.actions: WARNING [ssh] Ban 210.245.90.223 2010-12-15 00:03:07,308 fail2ban.actions: WARNING [ssh] Unban 210.245.90.223
複数からの攻撃もこんな感じ。
--------------------- pam_unix Begin ------------------------
省略
sshd:
Authentication Failures:
root (68-188-81-251.static.stls.mo.charter.com): 4 Time(s)
unknown (202.102.88.34): 4 Time(s)
root (210.245.90.223): 3 Time(s)
root (star.vms.lost-oasis.net): 3 Time(s)
unknown (116.112.7.7): 2 Time(s)
root (116.112.7.7): 1 Time(s)
Invalid Users:
Unknown Account: 6 Time(s)
---------------------- pam_unix End -------------------------
数千回以上の攻撃もこんな感じになる。
--------------------- SSHD Begin ------------------------
Illegal users from:
68.188.81.251 (68-188-81-251.static.stls.mo.charter.com): 4 times
root: 4 times
116.112.7.7: 3 times
admin: 1 time
root: 1 time
test: 1 time
202.102.88.34: 4 times
ant: 1 time
bureau: 1 time
office: 1 time
pc: 1 time
210.245.90.223: 3 times
root: 3 times
212.85.155.44 (star.vms.lost-oasis.net): 3 times
root: 3 times
Login attempted when not in AllowUsers list:
root : 11 Time(s)
---------------------- SSHD End -------------------------
キーワード:
参照:[本日のメニュー]