BSD界隈四方山話
第115回 blacklistd(8)を使ってsshd DoS攻撃を防止する方法 ipf編
blacklistd(8)でsshd DoS攻撃を防止する方法 ipf編
前回までFreeBSD 11.
最初はファイアウォールにipfw(4)を使う方法を紹介しました。前回はpf(4)を使う場合,
FreeBSDでこれから新しくファイアウォール機能を使う場合には,
まず,
リスト /etc/
# sshd
sshd_enable="YES"
sshd_flags="-o UseBlacklist=yes"
# blacklistd
blacklistd_enable="YES"
blacklistd_flags="-f"
#blacklistd_flags="-r"
# firewall - ipf
ipfilter_enable="YES"
ipfilter_rules="/etc/ipf.conf"
sshdはデフォルトの設定ではblacklistd(8)に対応していませんので,
blacklistd(8)がipf(4)を使うように/etc/
図 /etc/
$ touch /etc/ipf.conf
この状態でシステムを再起動すると,
図 blacklistd(8)に対応したsshd(8)
$ ps auxww | grep sshd root 650 0.0 0.7 57812 6940 - Is 14:14 0:00.00 /usr/sbin/sshd -o UseBlacklist=yes $
ipf(4)が有効になっているので,
図 ipf(4)フィルタリングルール
$ ipfstat -io # empty list for ipfilter(out) # empty list for ipfilter(in) $
blacklistd(8)も次のように動作していることを確認できます。
図 blacklistd(8)の動作も確認
$ ps auxww | grep blacklistd root 703 0.0 0.3 14772 2576 - Ss 14:14 0:00.01 /usr/sbin/blacklistd -f $
blacklistd(8)の保持しているルールはblacklistclt(8)コマンドで次のように確認できます。システムを再起動した段階では次のようになんのルールも入っているはずです。
図 まだ何も検出していない状態のblacklistd(8)
$ blacklistctl dump -a address/ma:port id nfail last access $
blacklistd(8)の設定は/etc/
リスト blacklistd(8)の設定ファイルである/etc/
# $FreeBSD: releng/11.1/etc/blacklistd.conf 301226 2016-06-02 19:06:04Z lidl $
#
# Blacklist rule
# adr/mask:port type proto owner name nfail disable
[local]
ssh stream * * * 3 24h
ftp stream * * * 3 24h
smtp stream * * * 3 24h
submission stream * * * 3 24h
#6161 stream tcp6 christos * 2 10m
* * * * * 3 60
# adr/mask:port type proto owner name nfail disable
[remote]
#129.168.0.0/16 * * * = * *
#6161 = = = =/24 = =
#* stream tcp * = = =
ほかのホストからsshでログインを試み,
図 blacklistd(8)経由でアクセスがブロックされた状態
% ssh 192.168.185.50 Password for daichi@virt.ongs.co.jp: Password for daichi@virt.ongs.co.jp: Password for daichi@virt.ongs.co.jp: ← 3回目の失敗 Permission denied (publickey,keyboard-interactive). % ssh 192.168.185.50 ↓ 接続できずにタイムアウト ssh: connect to host 192.168.185.50 port 22: Operation timed out %
この状態でipf(4)のルールをチェックすると,
図 pf(4)のルールにブロックが追加されたことを確認
$ ipfstat -io # empty list for ipfilter(out) ↓新しく追加されたルール block in quick inet proto tcp from 192.168.185.1/32 to any port = ssh head port22 $
blacklistctl(8)コマンドでブロック情報を確認すると,
図 blacklistd(8)経由でブロックルールが追加されたことを確認
$ blacklistctl dump -a address/ma:port id nfail last access 192.168.185.1/32:22 OK 3/3 2017/09/11 18:49:29 $
blacklistd(8)はデフォルトの設定だと/var/
このようにblacklistd(8)とipf(4)を使うと自動的にアクセスをブロックするといった設定を実現できます。これまで取り上げてきたように,
複数のファイアウォール機能に対応しつつも移植が容易なのはblacklistd-helper(8)がシェルスクリプトになっていて,
勉強会
10月4日(水)19:00~ 第66回 FreeBSD勉強会~vBSD 2017とEuroBSDCon 2017から旬な技術をご報告! - ヴァル研究所 セミナールーム
9月に米国バージニア州で開催されるvBSDcon 2017とフランスで開催されるEuroBSDCon 2017から,
本勉強会への参加者には抽選か勝ち抜きかデーモンTシャツなどのグッズをお渡しします。ふるってご参加ください。
参加登録はこちらから。
10月26日(木)19:00~第67回 FreeBSD勉強会~blacklistd(8)でsshd DoS攻撃を防止する方法 基礎から応用まで - ドワンゴ セミナールーム
FreeBSD 11.
FreeBSD 11.
blacklistd(8)と類似した機能を提供するソフトウェアにはsshguard,
blacklistd(8)はライブラリとしてlibblacklistを提供しているため,
今回の勉強会ではblacklistd(8)がどのように動作しているのか紹介するとともに,
参加登録はこちらから。
FreeBSD勉強会 発表者募集
FreeBSD勉強会では発表者を募集しています。FreeBSDに関して発表を行いたい場合,
バックナンバー
BSD界隈四方山話
- 第142回 FreeBSD Meltdown対策機能による性能影響ベンチマーク
- 第141回 FreeBSD 11.2は6月リリース
- 第140回 AsiaBSDCon 2018
- 第139回 OpenBSD,Meltdownバイナリパッチ提供開始
- 第138回 OpenBSD,Meltdown対策機能をマージ
- 第137回 FreeBSDのMeltdown/Spectre対策,11系にマージ
- 第136回 FreeBSDのMeltdown/Spectre対策
- 第135回 NetBSDにおけるMeltdown/Spectre対策状況
- 第134回 Intelマイクロコードアップデート適用の一時中止を
- 第133回 OpenBSD on iTWire