[Memo2012][ITPASS]fail2ban のインストールと設定

概要

サーバへの不正アクセスを減らすため, fail2ban のインストールと設定を行う.

もともと iptables というコマンドでアクセスの遮断を行うことはできる. iptables でどのようなことができるかを, 一度 man で見てみると良いだろう.

しかし, いちいち不正アクセスを行ってきたアドレスやポートを割り出して iptables コマンドを使って設定するのは面倒である. そこでそのような設定を自動的に行えるようにしたのが fail2ban である.

fail2ban のインストール

$ sudo -s
# apt-get update
# apt-get install fail2ban

iptables -L でインストールされたことを確認した. 以下のように fail2ban の記述が表示された.

# iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
fail2ban-ssh  tcp  --  anywhere             anywhere            multiport dports ssh    

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere             

設定ファイルの編集

fail2ban の設定ファイルは, /etc/fail2ban/jail.conf である. 以下に設定の一部を抜粋する.

ssh

ssh に関する設定を以下のようにを書き換えた. enabled が true になっているとサービスが実行される. false は実行されない.

destemail = root@localhost

[ssh]
enabled = true
port    = ssh
filter  = sshd
logpath  = /var/log/auth.log
maxretry = 4
  • ignoreip: 不正アクセスとして扱わないアクセス元を指定.
  • bantime: 不正アクセスと認めたときに, アクセスを何秒遮断するか指定.
  • findtime, maxretry: findtime 秒間のうちに maxretry 回失敗すると不正アクセスとみなされる.
  • destemail: 不正アクセスが認められたときのメールの送り先.
  • logpath: 監視をするログの場所を指定する

apache

apache に関する設定を以下のようにを書き換えた.

[apache]

enabled = true
port    = http,https
filter  = apache-auth
findtime= 60
logpath = /var/log/httpd-*error.log
maxretry = 60
bantime  = 1200

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = true
port      = http,https
filter    = apache-auth
findtime  = 10
logpath = /var/log/httpd-*error.log
maxretry  = 60
bantime  = 1200

apache ではエラーログを, apache-multiport ではアクセスログを監視する.

findtime, maxretry については, このぐらいが妥当と思われるが要請などがあれば適宜変えていくこと.

failregex の追加

apache

  • /etc/fail2ban/filter.d/apache-auth.conf の failregex を以下のように編集した.
    • failregex を設定すると, その設定に対応したログのメッセージをカウントし, findtime 以内に maxretry 回, 同じ IP アドレスからのメッセージがカウントされるとその IP アドレスからのアクセスが ban される.
    • ignoreregex は failregex で設定したもののうち, カウントしたくないメッセージがある場合に設定する.
    • failregex の最後の行は access ログを監視するための構文である.
      • access ログは error ログとはメッセージの書式が異なるので, その上の 5 つとは書き方が異なる.
    • 1 つの html ページに画像がたくさん貼付けてあるとそれだけでカウントして ban してしまうことがある. そのため, png, jpg(jpeg), gif ファイルについては ignoreregex に追加している.
failregex = [[]client <HOST>[]] user .* authentication failure
            [[]client <HOST>[]] user .* not found
            [[]client <HOST>[]] user .* password mismatch
            [[]client <HOST>[]] (13)Permission denied:
            [[]client <HOST>[]] File does not exist:
            ^<HOST> -.*GET.*
# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex = ^<HOST> -.*GET.*(jpg|jpeg|gif|png).*

ssh

  • /etc/fail2ban/filter.d/sshd.conf の failregex を編集した.

    • 以下の1行を追記した.
    ^%(__prefix_line)s[iI] .* [[]<HOST>[]] .* POSSIBLE BREAK-IN ATTEMPT\s*S

ログレベルの確認

  • /etc/fail2ban/fail2ban.conf の中のログレベルが 3 になっていることを確認した. (デフォルトになっているはずなので, 作業する必要はないが, 確認しておくこと)
    • ban, unban の記録がログに出力されるレベル
# Option:  loglevel
# Notes.:  Set the log level output.
#          1 = ERROR
#          2 = WARN
#          3 = INFO
#          4 = DEBUG
# Values:  NUM  Default:  3
#
loglevel = 3

fail2ban の起動

以下のコマンドで fail2ban を起動した.

# /etc/init.d/fail2ban start

fail2ban が動いているか確認した.

# /etc/init.d/fail2ban status
Status of authentication failure monitor:fail2ban is running.

動作テスト

ssh

情報実験機など (固定 IP が望ましい) から, 存在しないユーザ名で tako に ssh を行い, 動作をチェックした.

$ ssh hoge@133.30.109.21
 hoge@133.30.109.21's password:
 Permission denied, please try again.
(これを繰り返した)

maxretry 回目には接続が切られ, 何も表示されなくなった (動作テストを行うマシンによって表示は異なる. メッセージが表示される場合もある). tako で iptables -L をして, リストに加えられているかを確認した.

root@tako-itpass:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
fail2ban-ssh  tcp  --  anywhere             anywhere            multiport dports ssh 
(省略)
Chain fail2ban-ssh (1 references)
target     prot opt source                             destination         
DROP       all  --  133.30.109.80 anywhere  <-- これ           
RETURN     all  --  anywhere                           anywhere            

fail2ban のログに記録されているか確認した. 以下のような警告がログ /var/log/fail2ban.log に記載されていた.

2011-11-02 15:05:53,893 fail2ban.actions: WARNING [ssh] Ban 133.30.109.80
2011-11-02 15:15:54,566 fail2ban.actions: WARNING [ssh] Unban 133.30.109.80

apache

  • 動作が確認しやすいように findtime や maxretry, 画像ファイルにアクセスしてテストする場合は ignoreregex の値を適宜変更すること.
  • 固定 IP の計算機から行うことを推奨する.
    • DHCP で IP が配られる環境から行わざるをえない時は, 他の人が接続していないか確認すること.

error のテスト

  • fail2ban を再起動し, ブラウザを立ち上げ, tako-itpass.scitec.kobe-u.ac.jp/ 以下の others にパーミッションがないところ, (例えば ITPASS 実習の ppt/odp ファイル) や itpass ドメイン以下の実在しない URL を入力して, findtime 以内に maxretry 回以上アクセスした. 単なる itpass ではなく直接 tako にアクセスすること(URL に 133.30.109.21 と入力してもOK)
  • runtime error になれば OK.
  • iptables -L を見て, アクセスした IP アドレスが ban されていることを確認する.

access のテスト

  • ブラウザから tako-itpass.scitec.kobe-u.ac.jp 以下のファイルに findtime 以内に maxretry 回更新した.
  • runtime error になれば OK.
  • iptables -L を見て, アクセスした IP アドレスが ban されていることを確認する.

確認できたら変更した変数の値をもとに戻して fail2ban を再起動すること

挙動がシステムログメールに記載されるように設定

スクリプトの設置

  • ika の ~itpass/ftp/server/2011/system_report/loginfail を tako の /etc/cron.local/daily/800_loginfail にコピーした.

テスト

  • 情報実験機など (固定IPが望ましい) から maxretry 回, 存在しない名前でログインして ban されたことを確認した (同じ日に ssh でテストしているならこの作業はしなくてよい).
  • 次の日のメールのシステムログに出力されていることを確認する.
/etc/cron.local/daily/800_loginfail:
**** tako-itpass.scitec.kobe-u.ac.jp login failures ****

**** tako-itpass.scitec.kobe-u.ac.jp Ban/Unban reports ****
 2011-11-02 15:05:53,893 fail2ban.actions: WARNING [ssh] Ban 133.30.109.80
 2011-11-02 15:15:54,566 fail2ban.actions: WARNING [ssh] Unban 133.30.109.80
Last modified:2012/11/06 18:53:01
Keyword(s):
References:[[ITPASS2012]2012年度サーバ構築ログ]