Sshguard
関連記事
sshguard は SSH などのサービスをブルートフォース攻撃から守るためのサービスで、fail2ban と似ています。
sshguard は他の2つと違って C で書かれており、軽量かつシンプルです。コアの機能は同等ながら機能は抑えめに作られています。
sshguard は同じようなツールが持っている、ログ解析による 脆弱性 から攻撃されることは (ほとんど、または絶対に) ありません。
目次
インストール
設定
sshguard は /var/log/auth.log
や syslog-ng、そして systemd の journal にログイン試行の失敗がないか監視することで動作します。試行が失敗するたびに、問題のホストは ban されて、しばらく通信ができなくなります。違反者が通信できなくなるデフォルトの時間は120秒で、ログインを失敗するたびに通信禁止時間が1.5倍になります。何度もログイン失敗したホストは永久的に追放するように sshguard を設定することもできます。
一時的な ban も永続的な ban も、どちらも iptables の "sshguard" チェインにエントリを追加して違反者からのパケットを全て拒否することで行われています。ban は syslog に記録され /var/log/auth.log
に残ったり、systemd を使っている場合、systemd の journal に記録されます。
sshguard によるブロックを機能させるにはファイアウォールを設定する必要があります。
FirewallD
sshguard は Firewalld で使うことができます。firewalld が有効になっていることを確認して、先に firewalld をセットアップしてください。sshguard から設定ゾーンに書き込みが行われるようにするには、以下のコマンドを実行します:
# firewallctl zone "<zone name>" --permanent add rich-rule "rule source ipset=sshguard4 drop"
IPv6 を使っている場合、sshguard4 を sshguard6 に置き換えて同じコマンドを実行してください。設定したら、以下のコマンドを実行します:
# firewall-cmd --reload
以下のコマンドで確認できます:
# firewall-cmd --info-ipset=sshguard4
最後に /etc/sshguard.conf
の BACKEND
行を以下のように変更してください:
BACKEND="/usr/lib/sshguard/sshg-fw-firewalld"
UFW
UFW をインストール・有効化している場合、DROP の制御を sshguard に渡す必要があります。/etc/ufw/before.rules
を編集して以下の行を記述することで設定できます。ループバックデバイスのセクションの後に挿入してください。
/etc/ufw/before.rules
# allow all on loopback -A ufw-before-input -i lo -j ACCEPT -A ufw-before-output -o lo -j ACCEPT # hand off control for sshd to sshguard -N sshguard -A ufw-before-input -p tcp --dport 22 -j sshguard
iptables
必要な設定は iptables に sshguard
という名前のチェインを作成することです。sshguard はこのチェインに自動的に悪いホストからのパケットを拒否するルールを追加します:
# iptables -N sshguard
次に INPUT
チェインから sshguard
チェインにジャンプするルールを追加します。以下のルールは sshguard が保護するポートを処理する他のルールよりも前に追加してください [1]:
# iptables -A INPUT -m multiport -p tcp --destination-ports 21,22 -j sshguard
ルールを保存するには:
# iptables-save > /etc/iptables/iptables.rules
nftables
/etc/sshguard.conf
を編集して BACKEND
の値を以下のように変更してください:
/etc/sshguard.conf
BACKEND="/usr/lib/sshguard/sshg-fw-nft-sets"
さらに、sshguard.service
を編集して iptables が実行されないようにしてください:
[Service] ExecStartPre=
sshguard.service
を起動・有効化したときに、ip
と ip6
アドレスファミリーに新しいテーブル sshguard
が追加され、受信トラフィックが sshguard の IP アドレスリストを経由してフィルタリングされるようになります。sshguard
テーブルのチェインのプライオリティは -10 に設定されるため、他のルールよりも先に処理されます。詳しくは sshguard-setup(7) や nftables を見てください。
使用方法
systemd
sshguard.service
を起動・有効化してください。
syslog-ng
syslog-ng をインストールしている場合、コマンドラインから直接 sshguard を起動することができます:
/usr/sbin/sshguard -l /var/log/auth.log -b /var/db/sshguard/blacklist.db
設定
sshguard を使うのに必要な設定は /etc/sshguard.conf
で行います。
脅威レベルの変更
デフォルトの設定ファイルでは、違反者の "danger" レベルが 120 に淘汰すると永続的に ban されるようになっています (もしくはログインを12回失敗。詳しくは 攻撃の脅威 を参照)。ブラックリストファイルの前に脅威レベルを付けることで挙動を変えることができます:
BLACKLIST_FILE=200:/var/db/sshguard/blacklist.db
上記の例では 200:
によって、ホストの脅威レベルが 200 にまで達したときに sshguard によって永続的に ban されるようになります。
設定後 sshguard.service
ユニットを 再起動 してください。
適度に ban を行う例
ここでは、さまざまなオプションを説明するために、デフォルトよりも少し積極的な ban ルールを提案します。
- sshd と vsftpd を systemd/ジャーナル のログから監視する。
- 2 回の試行 (それぞれのコストは 10、
THRESHOLD
パラメーターの値が 20 として) で 180 秒間攻撃者をブロックし、その後のブロック時間は 1.5 倍長くなります。この 1.5 倍の遅延は内部的なものであり、設定では制御されないことに注意してください。 - 攻撃者は 10 回の試行後に永続的にブラックリストに登録されます (10 回の試行のコストは 10 であり、BLACKLIST_FILE パラメーターの値が 100 とします。)
- 攻撃者の IP だけでなく、すべての IPv4 サブネット 24 (CIDR 表記) をブロックします。
/etc/sshguard.conf
# Full path to backend executable (required, no default) BACKEND="/usr/lib/sshguard/sshg-fw-iptables" # Log reader command (optional, no default) LOGREADER="LANG=C.UTF-8 /usr/bin/journalctl -afb -p info -n1 -t sshd -t vsftpd -o cat" # How many problematic attempts trigger a block THRESHOLD=20 # Blocks last at least 180 seconds BLOCK_TIME=180 # The attackers are remembered for up to 3600 seconds DETECTION_TIME=3600 # Blacklist threshold and file name BLACKLIST_FILE=100:/var/db/sshguard/blacklist.db # IPv6 subnet size to block. Defaults to a single address, CIDR notation. (optional, default to 128) IPV6_SUBNET=64 # IPv4 subnet size to block. Defaults to a single address, CIDR notation. (optional, default to 32) IPV4_SUBNET=24
アグレッシブに ban をおこなう
断続的な攻撃に悩まされているユーザーにとっては、もっとアグレッシブな ban ポリシーを有効にしたほうが効果的でしょう。偶発的にログインを失敗するようなことは絶対ないと言えるのであれば、一度でもログインを失敗したらホストを自動的に ban するよう SSHGuard を設定することができます。設定ファイルのパラメータを以下のように編集してください:
THRESHOLD=10 BLACKLIST_FILE=10:/var/db/sshguard/blacklist.db
設定したら sshguard.service
ユニットを再起動してください。
また、多重認証を拒否するには /etc/ssh/sshd_config
に以下のように定義します:
MaxAuthTries 1
変更を適用するには sshd.service
を再起動してください。
ヒントとテクニック
ban を解除する
自分自身が ban されてしまった場合、自動的に ban が解除されるのを待つか、iptables や nftables を使って自分で ban を解除することができます。
iptables
まず sshguard によって IP が ban されているか確認してください。
# iptables --list sshguard --line-numbers --numeric
それから次のコマンドを使って ban を解除します、line-number は前のコマンドで確認した番号に置き換えてください:
# iptables --delete sshguard line-number
永続的に ban を解除するには /var/db/sshguard/blacklist.db
から IP アドレスを削除する必要があります。
nftables
attackers
から自分の IP アドレスを削除するには:
# nft delete element family sshguard attackers { ip_address }
family
には ip
または ip6
のどちらかを指定します。
ログ出力
sshguard に渡されたものを確認したい場合、/usr/lib/systemd/scripts/sshguard-journalctl
のスクリプトや systemd サービス sshguard.service
をチェックしてください。以下のコマンドでもターミナルで同じログを表示できます:
$ journalctl -afb -p info SYSLOG_FACILITY=4 SYSLOG_FACILITY=10