玩式草子─ソフトウェアとたわむれる日々

第94回　サイトの防御とFail2ban［その1］

Twitter リスト

2017年8月29日

こじまみつひろ

Linux, Fail2ban, brute force attack, セキュリティ

この記事を読むのに必要な時間：およそ 4.5 分

昨今は北朝鮮のミサイル実験がらみで，THAADやイージス艦，PAC3など，ミサイル防衛システムに関するニュースをよく耳にします。筆者はあまりミリタリー系には詳しくないものの，これらの防衛システムは敵国が発射したミサイルを迅速に検知し，ミサイルが目標に到達するまでに迎撃する仕組みだそうです。

一方，インターネットの世界でも，外部からの攻撃を早期に検知し，サイトを防御するための仕組みがさまざまに開発されています。今回はそれらの仕組みの中から，筆者が愛用している"Fail2ban"というツールを紹介してみましょう。

Fail2banについて

インターネット上でメールやWebのサーバを運用している人は，ログファイルにこのようなメッセージが出力されているのをしばしば目にしていることでしょう。

Aug 20 10:42:23 nsv sshd[29206]: connect from 59.63.188.36 (59.63.188.36)
Aug 20 10:42:23 nsv sshd[29208]: connect from 59.63.188.36 (59.63.188.36)
Aug 20 10:43:18 nsv sshd[29210]: connect from 59.63.188.36 (59.63.188.36)
Aug 20 10:43:20 nsv sshd[29212]: connect from 59.63.188.36 (59.63.188.36)
  ...

ユーザの認証履歴を残しているファイルにはこのような記録も残っていました。

Aug 20 10:42:25 nsv sshd[29206]: pam_unix(sshd:auth): authentication failure;
  logname= uid=0 euid=0 tty=ssh ruser= rhost=59.63.188.36  user=root
Aug 20 10:42:25 nsv sshd[29206]: Failed password for root from 59.63.188.36 port 28643 ssh2
Aug 20 10:42:26 nsv sshd[29206]: last message repeated 2 times
  ...

これはいわゆる「総当たり攻撃（brute force attack）」で，59.63.188.36のサイトからssh2プロトコルを使って，1分間に2度づつ，rootユーザとしての接続が試みられていたようです。

サーバの動作が重いなぁ…，と感じてこのような攻撃を発見すれば，手動で該当サイトからのパケットを遮断することも可能なものの，サーバの状態やログファイルを人力で監視し続けるのは不可能です。

"Fail2ban"はそのような問題を解決するために開発されたソフトウェアで，その名の通り，接続に繰り返し"Fail（失敗）"した相手を"Ban（禁止）"するツールです。

インターネット上でもっとも広く行われているのが，上記例のような，ありがちなユーザ名やパスワードを繰り返し試して不正ログインを試みる「総当たり攻撃」で，この攻撃は特定のサイトから何度も繰り返し接続が試みられるという特徴があります。

このような攻撃に対し，該当サイトからの接続を遮断するのが，「⁠パケットフィルタ」や「ファイアウォール」と呼ばれる機能で，最近のLinuxでは，カーネルに用意されたNetfilterという仕組みをiptablesというコマンドで操作して実現しています。

LinuxカーネルのNetfilter機能は，パケットの入出力に合わせて適用される複数の「テーブル」とテーブルごとに登録する「チェイン」と呼ばれるルールを組み合わせて，特定のサイトからの通信を遮断したり，指定したポートへのパケットを別のサーバへフォーワードする等，柔軟で多彩な機能を提供します。

そのようなNetfilter機能を操作するためのiptablesコマンドには，必然的に多数のオプションや引数が詰め込まれ，手動で簡単に操作するのが困難になってしまいました。

"Fail2ban"はそのような問題を補うように設計されており，ログファイルを監視して「総当たり攻撃」の兆候を検出すると，攻撃元からの接続を拒否するためのiptablesコマンドを自動発行して更なる攻撃を遮断します。加えて，あらかじめ設定された時間が経過すれば接続拒否を解除するようになっており，動的に割り当てられるIPアドレスが悪用された場合でも攻撃者以外の利用者が巻き込まれることを可能な限り防いでくれます。

図1　Fail2banのホームページ（www.fail2ban.org）

"Fail2ban"はwww.fail2ban.orgで開発されています。最近のソースコードはGitHubで公開されており，最新版である0.10.0は2017/8/9に公開されたそうです。ただし，手元で使っているFail2banは少々古いバージョンで，以下に紹介する例や設定方法もその古いバージョンに基づいているため，最新版とは多少異なる部分があるかも知れませんのでご注意ください。

Linux, Fail2ban, brute force attack, セキュリティ

著者プロフィール

こじまみつひろ

Plamo Linuxとりまとめ役。もともとは人類学的にハッカー文化を研究しようとしていたものの，いつの間にかミイラ取りがミイラになってOSSの世界にどっぷりと漬かってしまいました。最近は田舎に隠棲して半農半自営な生活をしながらソフトウェアと戯れています。

URL：http://www.linet.gr.jp/~kojima/Plamo/index.html

バックナンバー

玩式草子─ソフトウェアとたわむれる日々

バックナンバー一覧

ピックアップ

LightningChart® Traderによるテクニカル分析と証券取引アプリケーションの開発: 証券取引アプリケーションの開発プロセスを大幅に簡素化するLightningChart® Traderのビルドイン機能について紹介します。
福岡を，もっとエンジニアが働きやすい街へ！～第一回エンジニアフレンドリーシティ福岡アワードレポート: 2020年1月31日と2月1日に開催された『第一回エンジニアフレンドリーシティ福岡アワード』表彰式で表彰された，4団体と2企業の取り組み，受賞者のコメントをお伝えします。
「LINE DEVELOPER DAY 2019」レポート: 11月20日と21日の2日間開催された技術カンファレンス「LINE DEVELOPER DAY 2019」。多くの興味深いセッションの中からセレクトしたレポートをお届けします。
コードの安全性・安定性を高める開発サイクル～テスト管理の効率を上げ，脆弱性診断を自動で行う～: 本連載では，連載「業務を改善する情報共有の仕掛け」を受けつつ，安全性・安定性を加えた開発サイクルについて考えていきます。

その他の連載

CSS3アニメーションでつくるインターフェイス表現: CSS3によるアニメーション表現を紹介していきます。その中でも，幅広い読者に応用してもらえるだろうインターフェイスを主なお題とします。
MySQL道普請便り: 本連載では，MySQLを使ったアプリ開発・運用に関するノウハウをご紹介していきます。
Ubuntu Weekly Recipe: Ubuntuの強力なデスクトップ機能を活用するための，いろいろなレシピをお届けします。
JavaScriptセキュリティの基礎知識: JavaScriptに関するセキュリティ上の問題はどこで発生し，どうすれば防ぐことができるのか？について解説していきます。
Javaでなぜ問題が起きるのか〜システムをきちんと運用するための基礎知識: システムは「作って終わり」ではなく，運用の中でさまざまな問題が発生します。問題の発生に備えて事前にどのような対応をしておくべきなのか，問題発生時に何をしなければならないのか，ポイントを解説していきます。
きたみりゅうじの聞かせて珍プレー: ソフトウェア開発の現場で体験したトホホな失敗，思わずうなる珍プレーをきたみりゅうじ氏が四コママンガで紹介。みなさんからの投稿もお待ちしてます！
玩式草子─ソフトウェアとたわむれる日々: Plamo Linuxのメンテナンスの傍ら，Linuxやオープンソースソフトと日々を過ごす著者が，その魅力とつきあい方を，エッセイ風味でお届けします。
はまちちゃんとわかばちゃんのREADER'S FORUM―読者のページ: WEB+DB PRESS特別編集部員，さわやか笑顔のスーパーハカーはまちちゃんとネット大好き14歳わかばちゃんが，毎号，読者の皆さんから寄せられたおたよりを紹介します。皆さんの日頃の悩みにも答えちゃいますよ。