「Fail2ban」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(同期)
(同期)
1行目: 1行目:
  +
[[Category:ファイアウォール]]
 
[[Category:Secure Shell]]
 
[[Category:Secure Shell]]
 
[[en:Fail2ban]]
 
[[en:Fail2ban]]
5行目: 6行目:
 
{{Related articles start}}
 
{{Related articles start}}
 
{{Related|Sshguard}}
 
{{Related|Sshguard}}
  +
{{Related|セキュリティ}}
 
{{Related articles end}}
 
{{Related articles end}}
 
{{warning|IP ブラックリストを使えば取るに足らない攻撃を防ぐことはできますが、デーモンを使う必要がある上に攻撃時のログは残ります (特に攻撃者が何度もサーバーにアタックした場合 {{ic|/var}} を含むパーティションが一杯になってしまう可能性もあります)。さらに、攻撃者があなたの IP アドレスを知っている場合、ソースヘッダーを偽装したパケットを送りつけてあなたがサーバーにアクセスできないように仕向けてくるかもしれません。[[SSH 鍵]]はこれらの問題に煩わされることなくブルートフォースの問題を解決する方法を提供します。}}
 
{{warning|IP ブラックリストを使えば取るに足らない攻撃を防ぐことはできますが、デーモンを使う必要がある上に攻撃時のログは残ります (特に攻撃者が何度もサーバーにアタックした場合 {{ic|/var}} を含むパーティションが一杯になってしまう可能性もあります)。さらに、攻撃者があなたの IP アドレスを知っている場合、ソースヘッダーを偽装したパケットを送りつけてあなたがサーバーにアクセスできないように仕向けてくるかもしれません。[[SSH 鍵]]はこれらの問題に煩わされることなくブルートフォースの問題を解決する方法を提供します。}}
74行目: 76行目:
 
enabled = true
 
enabled = true
 
filter = sshd
 
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
+
action = iptables
sendmail-whois[name=SSH, dest=your@mail.org, sender=fail2ban@mail.com]
 
 
backend = systemd
 
backend = systemd
 
maxretry = 5
 
maxretry = 5
83行目: 84行目:
 
fail2ban はバージョン 0.10 から [[IPv6]] をサポートしています。使用しているファイアウォールに応じて、{{ic|ip6tables.service}} などを起動・有効化してください。
 
fail2ban はバージョン 0.10 から [[IPv6]] をサポートしています。使用しているファイアウォールに応じて、{{ic|ip6tables.service}} などを起動・有効化してください。
   
{{Note|ファイアウォールとして [[shorewall]] を使っている場合、{{ic|1=iptables[name=SSH, port=ssh, protocol=tcp]}} を {{ic|shorewall}} に置き換えてください。また、{{ic|/etc/shorewall/shorewall.conf}} の {{ic|BLACKLIST}} を {{ic|ALL}} に設定することができます。この設定を行わないと IP アドレスを ban するルールは新しい接続にしか適用されません。}}
+
{{Note|ファイアウォールとして [[shorewall]] を使っている場合、{{ic|iptables}} を {{ic|shorewall}} に置き換えてください。また、{{ic|/etc/shorewall/shorewall.conf}} の {{ic|BLACKLIST}} を {{ic|ALL}} に設定することができます。この設定を行わないと IP アドレスを ban するルールは新しい接続にしか適用されません。}}
   
 
また、{{ic|/etc/ssh/sshd_config}} に次を追加/変更してください:
 
また、{{ic|/etc/ssh/sshd_config}} に次を追加/変更してください:
 
LogLevel VERBOSE
 
LogLevel VERBOSE
 
そうしないとパスワード認証の失敗が正しく記録されません。
 
そうしないとパスワード認証の失敗が正しく記録されません。
  +
  +
== 参照 ==
  +
  +
* [http://www.the-art-of-web.com/system/fail2ban-action-whitelist/ Using a Fail2Ban Jail to Whitelist a User]
  +
* [http://www.the-art-of-web.com/system/fail2ban-filters/ Optimising your Fail2Ban filters]
  +
* [http://www.the-art-of-web.com/system/fail2ban-sendmail/ Fail2Ban and sendmail]
  +
* [http://www.the-art-of-web.com/system/fail2ban/ Fail2Ban and iptables]
  +
* [http://www.the-art-of-web.com/system/fail2ban-howto/ Fail2Ban 0.8.3 Howto]
  +
* [http://www.the-art-of-web.com/system/fail2ban-log/ Monitoring the fail2ban log]

2018年1月29日 (月) 22:38時点における版

関連記事

警告: IP ブラックリストを使えば取るに足らない攻撃を防ぐことはできますが、デーモンを使う必要がある上に攻撃時のログは残ります (特に攻撃者が何度もサーバーにアタックした場合 /var を含むパーティションが一杯になってしまう可能性もあります)。さらに、攻撃者があなたの IP アドレスを知っている場合、ソースヘッダーを偽装したパケットを送りつけてあなたがサーバーにアクセスできないように仕向けてくるかもしれません。SSH 鍵はこれらの問題に煩わされることなくブルートフォースの問題を解決する方法を提供します。

Fail2ban は様々なテキストのログファイルをスキャンして、何度もパスワード認証を失敗している IP アドレスを拒否するようファイアウォールのルールを更新して ban します。Sshguard に似ています。

警告: 正しく機能させるためにログの IP アドレスを正確にパースさせることが重要です。保護したいアプリケーションごとにログフィルターがちゃんと動くかどうかテストするようにしてください。

インストール

fail2ban パッケージをインストールしてください。

誰かが ban されたときに Fail2ban からメールを送信したい場合、SSMTP などをセットアップする必要があります。

systemd

fail2ban.service ユニットを有効化してください。

ハードニング

現在、fail2ban は root で実行する必要があり、systemd でプロセスをハードニングする余地があります。参照: systemd for Administrators, Part XII

ケイパビリティ

セキュリティを強化するために既存の fail2ban.serviceドロップイン設定ファイルCapabilityBoundingSet を指定することで fail2ban のケイパビリティを制限できます:

/etc/systemd/system/fail2ban.service.d/capabilities.conf
[Service]
CapabilityBoundingSet=CAP_DAC_READ_SEARCH CAP_NET_ADMIN CAP_NET_RAW

上の例では、CAP_DAC_READ_SEARCH で fail2ban に完全な読み取りアクセスを許可し、CAP_NET_ADMINCAP_NET_RAWiptables によるファイアウォールのルールの設定を許可しています。fail2ban の設定によっては、ケイパビリティを追加する必要があるでしょう。詳しくは capabilities(7) を見て下さい。

ファイルシステムのアクセス

ノート: 環境によっては以下の設定で fail2ban が使えなくなる可能性があります。最初は以下の設定を使わないで fail2ban を試してください。

[Service] セクションで、ReadOnlyDirectoriesReadWriteDirectories を使うことで、ファイルシステムの読み書きアクセスを制限することができます。例えば:

ReadOnlyDirectories=/
ReadWriteDirectories=/var/run/fail2ban /var/lib/fail2ban /var/spool/postfix/maildrop /tmp /var/log/fail2ban

上の例では、pid やソケットファイルの /var/run/fail2ban と、postfix sendmail の /var/spool/postfix/maildrop を除いて、ファイルシステムを読み取り専用に制限しています。ケイパビリティと同じく、システム設定や fail2ban の設定によって変える必要が出てきます。fail2ban の動作の中には /tmp ディレクトリが必要になるものもあります。fail2ban の行動記録を保存して欲しい場合は /var/log/fail2ban を追加してください。全てのディレクトリが存在していることを確認してください。存在しない場合、サービスの起動時にエラーコード 226 が表示されます。また、/etc/fail2ban/fail2ban.conf の logtarget を修正してください:

logtarget = /var/log/fail2ban/fail2ban.log

設定

ノート: ディストリビューションのアップデートで jail.conf ファイルは上書きされてしまう可能性があるので、jail.local ファイルや jail.d/ ディレクトリ下の .conf ファイル (例: jail.d/ssh-iptables.conf) に修正を加えるのが推奨されます。

デフォルト jail

多数のサービスに対応しているデフォルトの jail は /etc/fail2ban/jail.conf に存在していますが、デフォルトでは有効になっていません。セクションヘッダーを適当な .local ファイルにコピーすることで有効にできます。

パス

Arch Linux の基本設定を有効にするには、jail.local ファイルに以下のセクションを追加・変更:

[INCLUDES]
before = paths-arch.conf

fail2ban.service再起動して設定をテストしてください。fail2ban サービスが起動に失敗すると fail2ban-client から "file not found errors" が出力されます。paths-arch.confjail.local を必要に応じて調整してください。デフォルトの jail は設定を変更しないと動作しない場合があります。

カスタム SSH jail

/etc/fail2ban/jail.d/jail.conf を編集して、以下のセクションを追加して信頼する IP アドレスのリストを更新します。

使っているファイアウォールが iptables の場合:

[DEFAULT]
bantime = 1d
ignoreip = 127.0.0.1/8

[sshd]
enabled  = true
filter   = sshd
action   = iptables
backend  = systemd
maxretry = 5
findtime = 1d
bantime  = 2w

fail2ban はバージョン 0.10 から IPv6 をサポートしています。使用しているファイアウォールに応じて、ip6tables.service などを起動・有効化してください。

ノート: ファイアウォールとして shorewall を使っている場合、iptablesshorewall に置き換えてください。また、/etc/shorewall/shorewall.confBLACKLISTALL に設定することができます。この設定を行わないと IP アドレスを ban するルールは新しい接続にしか適用されません。

また、/etc/ssh/sshd_config に次を追加/変更してください:

LogLevel VERBOSE

そうしないとパスワード認証の失敗が正しく記録されません。

参照