fail2ban
fail2banでアクセス制限
fail2banをインストールしてみる。
# aptitude install fail2ban
debianの場合、これだけでsshのアクセス制限ができてしまうようだ。
これで、ブルートフォースの執拗な攻撃を気にする必要は無くなる。ていうか、もともとsshのポートを開けなければいいのではあるが。どうしても出先からとかいじくってみたくなったりするのです。
実際にやってみると次のようになる。6回失敗すると拒否されてしまう。この後は、600秒経過しないとアクセスできない。
taki@beer:~$ ssh gojappe@tewasura.com gojappe@tewasura.com's password: Permission denied, please try again. gojappe@tewasura.com's password: Permission denied, please try again. gojappe@tewasura.com's password: Permission denied (publickey,password). taki@beer:~$ ssh gojappe@tewasura.com gojappe@tewasura.com's password: Permission denied, please try again. gojappe@tewasura.com's password: Permission denied, please try again. gojappe@tewasura.com's password: Permission denied (publickey,password). gojappe@beer:~$ ssh tewasura.com ssh: connect to host tewasura.com port 22: Connection timed out
debianの場合、何の設定もしなければsshの制限だけだが、sshの他のポートについてもアクセス制限をかけることができる。そのうち、やってみようとは考えている。
fail2banの結果を追記する。こんな感じでlogwatchで報告してくれる。
--------------------- fail2ban-messages Begin ------------------------ Banned services with Fail2Ban: Bans:Unbans ssh: [ 5:4 ] 68.188.81.251 (68-188-81-251.static.stls.mo.charter.com) 1:1 116.112.7.7 1:1 202.102.88.34 1:1 212.85.155.44 (star.vms.lost-oasis.net) 1:1 210.245.90.223 1:0 ---------------------- fail2ban-messages End -------------------------
この時の/var/log/fail2ban.logはこんな感じ。
2010-12-14 02:36:24,551 fail2ban.actions: WARNING [ssh] Ban 68.188.81.251 2010-12-14 02:46:24,619 fail2ban.actions: WARNING [ssh] Unban 68.188.81.251 2010-12-14 03:23:37,731 fail2ban.actions: WARNING [ssh] Ban 202.102.88.34 2010-12-14 03:33:38,067 fail2ban.actions: WARNING [ssh] Unban 202.102.88.34 2010-12-14 04:46:46,159 fail2ban.actions: WARNING [ssh] Ban 116.112.7.7 2010-12-14 04:56:46,211 fail2ban.actions: WARNING [ssh] Unban 116.112.7.7 2010-12-14 06:52:36,700 fail2ban.actions: WARNING [ssh] Ban 212.85.155.44 2010-12-14 07:02:37,060 fail2ban.actions: WARNING [ssh] Unban 212.85.155.44 2010-12-14 23:53:07,264 fail2ban.actions: WARNING [ssh] Ban 210.245.90.223 2010-12-15 00:03:07,308 fail2ban.actions: WARNING [ssh] Unban 210.245.90.223
複数からの攻撃もこんな感じ。
--------------------- pam_unix Begin ------------------------ 省略 sshd: Authentication Failures: root (68-188-81-251.static.stls.mo.charter.com): 4 Time(s) unknown (202.102.88.34): 4 Time(s) root (210.245.90.223): 3 Time(s) root (star.vms.lost-oasis.net): 3 Time(s) unknown (116.112.7.7): 2 Time(s) root (116.112.7.7): 1 Time(s) Invalid Users: Unknown Account: 6 Time(s) ---------------------- pam_unix End -------------------------
数千回以上の攻撃もこんな感じになる。
--------------------- SSHD Begin ------------------------ Illegal users from: 68.188.81.251 (68-188-81-251.static.stls.mo.charter.com): 4 times root: 4 times 116.112.7.7: 3 times admin: 1 time root: 1 time test: 1 time 202.102.88.34: 4 times ant: 1 time bureau: 1 time office: 1 time pc: 1 time 210.245.90.223: 3 times root: 3 times 212.85.155.44 (star.vms.lost-oasis.net): 3 times root: 3 times Login attempted when not in AllowUsers list: root : 11 Time(s) ---------------------- SSHD End -------------------------
キーワード:
参照:[本日のメニュー]