「Fail2ban」の版間の差分
(→設定: 情報を更新) |
(項目を整理) |
||
| 56行目: | 56行目: | ||
[{'sshd': ['192.168.100.50']}, {'apache-auth': []}] |
[{'sshd': ['192.168.100.50']}, {'apache-auth': []}] |
||
}} |
}} |
||
| − | |||
| − | == ハードニング == |
||
| − | |||
| − | 現在、fail2ban は root で実行する必要があり、systemd でプロセスをハードニングする余地があります。参照: [http://0pointer.de/blog/projects/security.html systemd for Administrators, Part XII] |
||
| − | |||
| − | === ケイパビリティ === |
||
| − | |||
| − | セキュリティを強化するために既存の {{ic|fail2ban.service}} の[[Systemd#ユニットファイルの編集|ドロップイン設定ファイル]]で {{ic|CapabilityBoundingSet}} を指定することで fail2ban の[[ケイパビリティ]]を制限できます: |
||
| − | |||
| − | {{hc|/etc/systemd/system/fail2ban.service.d/capabilities.conf|2= |
||
| − | [Service] |
||
| − | CapabilityBoundingSet=CAP_DAC_READ_SEARCH CAP_NET_ADMIN CAP_NET_RAW |
||
| − | }} |
||
| − | |||
| − | 上の例では、{{ic|CAP_DAC_READ_SEARCH}} で fail2ban に完全な読み取りアクセスを許可し、{{ic|CAP_NET_ADMIN}} と {{ic|CAP_NET_RAW}} で [[iptables]] によるファイアウォールのルールの設定を許可しています。fail2ban の設定によっては、ケイパビリティを追加する必要があるでしょう。詳しくは {{man|7|capabilities}} を見て下さい。 |
||
| − | |||
| − | === ファイルシステムのアクセス === |
||
| − | |||
| − | {{Note|環境によっては以下の設定で fail2ban が使えなくなる可能性があります。最初は以下の設定を使わないで fail2ban を試してください。}} |
||
| − | |||
| − | {{ic|[Service]}} セクションで、''ReadOnlyDirectories'' や ''ReadWriteDirectories'' を使うことで、ファイルシステムの読み書きアクセスを制限することができます。例えば: |
||
| − | ReadOnlyDirectories=/ |
||
| − | ReadWriteDirectories=/var/run/fail2ban /var/lib/fail2ban /var/spool/postfix/maildrop /tmp /var/log/fail2ban |
||
| − | 上の例では、pid やソケットファイルの {{ic|/var/run/fail2ban}} と、[[postfix]] sendmail の {{ic|/var/spool/postfix/maildrop}} を除いて、ファイルシステムを読み取り専用に制限しています。ケイパビリティと同じく、システム設定や fail2ban の設定によって変える必要が出てきます。fail2ban の動作の中には {{ic|/tmp}} ディレクトリが必要になるものもあります。fail2ban の行動記録を保存して欲しい場合は {{ic|/var/log/fail2ban}} を追加してください。全てのディレクトリが存在していることを確認してください。存在しない場合、サービスの起動時にエラーコード 226 が表示されます。また、{{ic|/etc/fail2ban/fail2ban.conf}} の logtarget を修正してください: |
||
| − | logtarget = /var/log/fail2ban/fail2ban.log |
||
== 設定 == |
== 設定 == |
||
2023年12月21日 (木) 07:04時点における版
Fail2ban は、ログファイル (例:/var/log/httpd/error_log) をスキャンし、認証の試行回数が多すぎる、脆弱性のスキャンなど、悪意のある兆候を示す IP を禁止します。一般に、Fail2ban は、次に、次の IP アドレスを拒否するように ファイアウォール ルールを更新するために使用されます。指定された時間だけですが、他の任意のアクション (電子メールの送信など) も設定できます。
目次
インストール
次のパッケージのいずれかを インストール して下さい:
- fail2ban - 最新の安定バージョン。
- fail2ban-gitAUR - マスターからの最新のコミット。
使い方
Fail2ban を 設定 し fail2ban.service を 起動/有効化 します:
fail2ban-client
failed2ban-client を使用すると、jail (リロード、再起動、ステータスなど) を監視して、使用可能なすべてのコマンドを表示できます:
$ fail2ban-client
有効なジェイルをすべて表示するには:
# fail2ban-client status
たとえば sshd などの jail のステータスを確認するには:
# fail2ban-client status sshd
Status for the jail: sshd |- Filter | |- Currently failed: 1 | |- Total failed: 9 | `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd `- Actions |- Currently banned: 1 |- Total banned: 1 `- Banned IP list: 0.0.0.0
禁止された IP を含むすべての jail のコンパクトバージョンの場合:
# fail2ban-client banned
[{'sshd': ['192.168.100.50']}, {'apache-auth': []}]
設定
アップグレード 中に /etc/fail2ban/jail.conf に対して pacman/Pacnew と Pacsave が作成される可能性があるため、jail.conf(5) § CONFIGURATION FILES FORMAT では、アップグレードを容易にする ために、ユーザーが /etc/fail2ban/jail.local ファイルを 作成 することをお勧めします。
たとえば、デフォルトの禁止期間を 1 日に変更するには、次のようにします:
/etc/fail2ban/jail.local
[DEFAULT] bantime = 1d
または、/etc/fail2ban/jail.d ディレクトリの下に別の name.local ファイルを作成します (例:/etc/fail2ban/jail.d/sshd.local
fail2ban.service を 再起動 して設定の変更を適用します。
jails を有効にする
デフォルトでは、すべての jails は無効になっています。enabled = true を使用したい jails に 追加 します。たとえば、OpenSSH jails を有効にする場合:
/etc/fail2ban/jail.local
[sshd] enabled = true
警告メールを受信する
誰かが禁止されたときに電子メールを受信したい場合は、SMTP クライアント (例:msmtp) を設定し、以下に示すようにデフォルトのアクションを変更する必要があります。
/etc/fail2ban/jail.local
[DEFAULT] destemail = yourname@example.com sender = yourname@example.com # to ban & send an e-mail with whois report to the destemail. action = %(action_mw)s # same as action_mw but also send relevant log lines #action = %(action_mwl)s
ファイアウォールとサービス
デフォルトでは、Fail2ban は iptables を使用します。ただし、ほとんどの ファイアウォール とサービスの設定は簡単です。たとえば、nftables を使用するには:
/etc/fail2ban/jail.local
[DEFAULT] banaction = nftables banaction_allports = nftables[type=allports]
他の例については、/etc/fail2ban/action.d/ を参照してください。例:ufw.conf
ヒントとテクニック
カスタム SSH jail
/etc/fail2ban/jail.d/sshd.local を編集し、このセクションを追加して、ignoreip の信頼できる IP アドレスのリストを更新します:
/etc/fail2ban/jail.d/sshd.local
[sshd] enabled = true filter = sshd banaction = iptables backend = systemd maxretry = 5 findtime = 1d bantime = 2w ignoreip = 127.0.0.1/8
Systemd バックエンド: ジャーナルフィルタリング
パフォーマンスを向上させるために systemd バックエンドを使用する場合は、journalmatch を使用してフィルターを設定します。たとえば、カーネルレベルのログメッセージのみを解析するには、次のようにします。
/etc/fail2ban/filter.d/fwdrop.local
[Definition] failregex = ^.*DROP_.*SRC=<ADDR> DST=.*$ journalmatch = _TRANSPORT=kernel
こちらも参照 systemd.journal-fields(7)
サービスの強化
現在、Fail2ban は root として実行する必要があります。したがって、systemd を使用してプロセスを強化することを検討することをお勧めします。
fail2ban.service の ドロップイン 設定ファイルを 作成:
/etc/systemd/system/fail2ban.service.d/override.conf
[Service] PrivateDevices=yes PrivateTmp=yes ProtectHome=read-only ProtectSystem=strict ReadWritePaths=-/var/run/fail2ban ReadWritePaths=-/var/lib/fail2ban ReadWritePaths=-/var/log/fail2ban ReadWritePaths=-/var/spool/postfix/maildrop ReadWritePaths=-/run/xtables.lock CapabilityBoundingSet=CAP_AUDIT_READ CAP_DAC_READ_SEARCH CAP_NET_ADMIN CAP_NET_RAW
CapabilityBoundingSet パラメータ CAP_DAC_READ_SEARCH を使用すると、Fail2ban にすべてのディレクトリとファイルへの完全な読み取りアクセスが許可されます。CAP_NET_ADMIN と CAP_NET_RAW により、コマンドラインシェル インターフェイスを持つファイアウォール上で Fail2ban を動作させることができます。詳細については、capabilities(7) を参照してください。
ProtectSystem=strict を使用すると、ファイルシステム 階層は読み取り専用になり、ReadWritePaths は Fail2ban に必要なパスへの書き込みアクセスを許可します。
Create /etc/fail2ban/fail2ban.local with the correct logtarget path:
/etc/fail2ban/fail2ban.local
[Definition] logtarget = /var/log/fail2ban/fail2ban.log
root として /var/log/fail2ban/ ディレクトリを作成します。
最後に、systemd デーモンを 再起動 して実行しユニットの変更を適用し、fail2ban.service を実行します。