玩式草子─ソフトウェアとたわむれる日々

第94回 サイトの防御とFail2ban[その1]

Linux, Fail2ban, brute force attack, セキュリティ

この記事を読むのに必要な時間:およそ 4.5 分

昨今は北朝鮮のミサイル実験がらみで,THAADやイージス艦,PAC3など,ミサイル防衛システムに関するニュースをよく耳にします。筆者はあまりミリタリー系には詳しくないものの,これらの防衛システムは敵国が発射したミサイルを迅速に検知し,ミサイルが目標に到達するまでに迎撃する仕組みだそうです。

一方,インターネットの世界でも,外部からの攻撃を早期に検知し,サイトを防御するための仕組みがさまざまに開発されています。今回はそれらの仕組みの中から,筆者が愛用している"Fail2ban"というツールを紹介してみましょう。

Fail2banについて

インターネット上でメールやWebのサーバを運用している人は,ログファイルにこのようなメッセージが出力されているのをしばしば目にしていることでしょう。

Aug 20 10:42:23 nsv sshd[29206]: connect from 59.63.188.36 (59.63.188.36)
Aug 20 10:42:23 nsv sshd[29208]: connect from 59.63.188.36 (59.63.188.36)
Aug 20 10:43:18 nsv sshd[29210]: connect from 59.63.188.36 (59.63.188.36)
Aug 20 10:43:20 nsv sshd[29212]: connect from 59.63.188.36 (59.63.188.36)
  ...

ユーザの認証履歴を残しているファイルにはこのような記録も残っていました。

Aug 20 10:42:25 nsv sshd[29206]: pam_unix(sshd:auth): authentication failure;
  logname= uid=0 euid=0 tty=ssh ruser= rhost=59.63.188.36  user=root
Aug 20 10:42:25 nsv sshd[29206]: Failed password for root from 59.63.188.36 port 28643 ssh2
Aug 20 10:42:26 nsv sshd[29206]: last message repeated 2 times
  ...

これはいわゆる総当たり攻撃(brute force attack)で,59.63.188.36のサイトからssh2プロトコルを使って,1分間に2度づつ,rootユーザとしての接続が試みられていたようです。

サーバの動作が重いなぁ…,と感じてこのような攻撃を発見すれば,手動で該当サイトからのパケットを遮断することも可能なものの,サーバの状態やログファイルを人力で監視し続けるのは不可能です。

"Fail2ban"はそのような問題を解決するために開発されたソフトウェアで,その名の通り,接続に繰り返し"Fail(失敗)"した相手を"Ban(禁止)"するツールです。

インターネット上でもっとも広く行われているのが,上記例のような,ありがちなユーザ名やパスワードを繰り返し試して不正ログインを試みる「総当たり攻撃」で,この攻撃は特定のサイトから何度も繰り返し接続が試みられるという特徴があります。

このような攻撃に対し,該当サイトからの接続を遮断するのが,⁠パケットフィルタ」「ファイアウォール」と呼ばれる機能で,最近のLinuxでは,カーネルに用意されたNetfilterという仕組みをiptablesというコマンドで操作して実現しています。

LinuxカーネルのNetfilter機能は,パケットの入出力に合わせて適用される複数の「テーブル」とテーブルごとに登録する「チェイン」と呼ばれるルールを組み合わせて,特定のサイトからの通信を遮断したり,指定したポートへのパケットを別のサーバへフォーワードする等,柔軟で多彩な機能を提供します。

そのようなNetfilter機能を操作するためのiptablesコマンドには,必然的に多数のオプションや引数が詰め込まれ,手動で簡単に操作するのが困難になってしまいました。

"Fail2ban"はそのような問題を補うように設計されており,ログファイルを監視して「総当たり攻撃」の兆候を検出すると,攻撃元からの接続を拒否するためのiptablesコマンドを自動発行して更なる攻撃を遮断します。加えて,あらかじめ設定された時間が経過すれば接続拒否を解除するようになっており,動的に割り当てられるIPアドレスが悪用された場合でも攻撃者以外の利用者が巻き込まれることを可能な限り防いでくれます。

図1 Fail2banのホームページ(www.fail2ban.org)

図1 Fail2banのホームページ(www.fail2ban.org)

"Fail2ban"はwww.fail2ban.orgで開発されています。最近のソースコードはGitHubで公開されており,最新版である0.10.0は2017/8/9に公開されたそうです。ただし,手元で使っているFail2banは少々古いバージョンで,以下に紹介する例や設定方法もその古いバージョンに基づいているため,最新版とは多少異なる部分があるかも知れませんのでご注意ください。

Linux, Fail2ban, brute force attack, セキュリティ

著者プロフィール

こじまみつひろ

Plamo Linuxとりまとめ役。もともとは人類学的にハッカー文化を研究しようとしていたものの,いつの間にかミイラ取りがミイラになってOSSの世界にどっぷりと漬かってしまいました。最近は田舎に隠棲して半農半自営な生活をしながらソフトウェアと戯れています。

URLhttp://www.linet.gr.jp/~kojima/Plamo/index.html