昨今は北朝鮮のミサイル実験がらみで、THAADやイージス艦、PAC3など、ミサイル防衛システムに関するニュースをよく耳にします。筆者はあまりミリタリー系には詳しくないものの、これらの防衛システムは敵国が発射したミサイルを迅速に検知し、ミサイルが目標に到達するまでに迎撃する仕組みだそうです。

一方、インターネットの世界でも、外部からの攻撃を早期に検知し、サイトを防御するための仕組みがさまざまに開発されています。今回はそれらの仕組みの中から、筆者が愛用している"Fail2ban"というツールを紹介してみましょう。

Fail2banについて

インターネット上でメールやWebのサーバを運用している人は、ログファイルにこのようなメッセージが出力されているのをしばしば目にしていることでしょう。

Aug 20 10:42:23 nsv sshd[29206]: connect from 59.63.188.36 (59.63.188.36)
Aug 20 10:42:23 nsv sshd[29208]: connect from 59.63.188.36 (59.63.188.36)
Aug 20 10:43:18 nsv sshd[29210]: connect from 59.63.188.36 (59.63.188.36)
Aug 20 10:43:20 nsv sshd[29212]: connect from 59.63.188.36 (59.63.188.36)
  ...

ユーザの認証履歴を残しているファイルにはこのような記録も残っていました。

Aug 20 10:42:25 nsv sshd[29206]: pam_unix(sshd:auth): authentication failure;
  logname= uid=0 euid=0 tty=ssh ruser= rhost=59.63.188.36  user=root
Aug 20 10:42:25 nsv sshd[29206]: Failed password for root from 59.63.188.36 port 28643 ssh2
Aug 20 10:42:26 nsv sshd[29206]: last message repeated 2 times
  ...

これはいわゆる「総当たり攻撃（brute force attack）」で、59.63.188.36のサイトからssh2プロトコルを使って、1分間に2度づつ、rootユーザとしての接続が試みられていたようです。

サーバの動作が重いなぁ…、と感じてこのような攻撃を発見すれば、手動で該当サイトからのパケットを遮断することも可能なものの、サーバの状態やログファイルを人力で監視し続けるのは不可能です。

"Fail2ban"はそのような問題を解決するために開発されたソフトウェアで、その名の通り、接続に繰り返し"Fail（失敗）"した相手を"Ban（禁止）"するツールです。

インターネット上でもっとも広く行われているのが、上記例のような、ありがちなユーザ名やパスワードを繰り返し試して不正ログインを試みる「総当たり攻撃」で、この攻撃は特定のサイトから何度も繰り返し接続が試みられるという特徴があります。

このような攻撃に対し、該当サイトからの接続を遮断するのが、「⁠パケットフィルタ」や「ファイアウォール」と呼ばれる機能で、最近のLinuxでは、カーネルに用意されたNetfilterという仕組みをiptablesというコマンドで操作して実現しています。

LinuxカーネルのNetfilter機能は、パケットの入出力に合わせて適用される複数の「テーブル」とテーブルごとに登録する「チェイン」と呼ばれるルールを組み合わせて、特定のサイトからの通信を遮断したり、指定したポートへのパケットを別のサーバへフォーワードする等、柔軟で多彩な機能を提供します。

そのようなNetfilter機能を操作するためのiptablesコマンドには、必然的に多数のオプションや引数が詰め込まれ、手動で簡単に操作するのが困難になってしまいました。

"Fail2ban"はそのような問題を補うように設計されており、ログファイルを監視して「総当たり攻撃」の兆候を検出すると、攻撃元からの接続を拒否するためのiptablesコマンドを自動発行して更なる攻撃を遮断します。加えて、あらかじめ設定された時間が経過すれば接続拒否を解除するようになっており、動的に割り当てられるIPアドレスが悪用された場合でも攻撃者以外の利用者が巻き込まれることを可能な限り防いでくれます。

"Fail2ban"はwww.fail2ban.orgで開発されています。最近のソースコードはGitHubで公開されており、最新版である0.10.0は2017/8/9に公開されたそうです。ただし、手元で使っているFail2banは少々古いバージョンで、以下に紹介する例や設定方法もその古いバージョンに基づいているため、最新版とは多少異なる部分があるかも知れませんのでご注意ください。

Fail2banの仕組み

Fail2banの実体はPythonで書かれたスクリプトで、起動すると各種設定ファイルを読み込んだ上で、デーモンプロセスとして常駐し、ログファイルを監視し続けます。

Fail2banの設定ファイルには、全体的な動作を設定するための/etc/fail2ban/fail2ban.confと、どのようなサービスとログファイルを監視するかを設定する/etc/fail2ban/jail.confの2種があります。これらのファイルにはあらかじめデフォルト値が設定されているものの、監視したいサービスやログファイルはサイトごとに異なるため、/etc/fail2ban/jail.localというファイルでこれらデフォルトの設定値を書き換えるようになっています。jail.localはFail2banを更新しても上書きされないので、サイトごとの設定はこのファイルで指定するのがいいでしょう。

jail.{conf,local}では、ブラケット([...])で監視対象のサービスを指定し、監視すべきログファイルとどのようなメッセージをチェック対象にするかのフィルタ、攻撃があった場合にどのような処理をするかのアクション、を設定します。

たとえば、手元の/etc/fail2ban/jail.confではsshdに関する監視はこのように設定されています。

[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables[name=SSH, port=ssh, protocol=tcp]
           sendmail-whois[name=SSH, dest=you@example.com, sender=fail2ban@example.com, sendername="Fail2Ban"]
logpath  = /var/log/secure
maxretry = 5

この設定は、logpathで指定したログファイル（/var/log/secure）を"sshd"というフィルタを使ってチェックし、一定時間内に5回以上(maxretry)該当するエラーメッセージが出力されれば総当たり攻撃が行なわれたと見なし、action欄に指定されたiptablesとsendmail-whoisという処理を[...]内に指定された引数を使って実行する、という意味になります。なお、"enabled = true"行は、この設定を有効にする、という指定で、"enabled = false"とすれば設定を一時的に無効化できます。

filter行に指定している各種フィルタは/etc/fail2ban/filter.d/以下に用意されており、今回の"sshd"フィルタは/etc/fail2ban/filter.d/sshd.confに該当します。このフィルタにはsshdの出力するエラーメッセージのさまざまなパターンが登録されています。

# Fail2Ban filter for openssh
#
...  
[Definition]

_daemon = sshd

failregex = ^%(__prefix_line)s(?:error: PAM: )?[aA]uthentication (?:failure|error) for .* from <HOST>( via \S+)?\s*$
            ^%(__prefix_line)s(?:error: PAM: )?User not known to the underlying authentication module for .* from <HOST>\s*$
            ^%(__prefix_line)sFailed \S+ for .*? from <HOST>(?: port \d*)?(?: ssh\d*)?(: (ruser .*|(\S+ ID \S+ \(serial \d+\) CA )?\S+ %(__md5hex)s(, client user ".*", client host ".*")?))?\s*$
            ^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
            ^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from <HOST>\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because not listed in AllowUsers\s*$
            ^%(__prefix_line)sUser .+ from <HOST> not allowed because listed in DenyUsers\s*$
...

このファイルのfailregex行に指定されているのが、正規表現で記述したエラーメッセージの各種パターンです。たとえば、最初の行では"authentication failure"や"Authentication error"というエラーが、その次の行では"User not known"のエラーが捉えられることになります。その後も"ROOT LOGIN REFUSED"や"User not allowed"等のメッセージを捉えるための表現が並び、sshdが出力するたいていのエラーメッセージが捕捉できるようになっています。

筆者が"Fail2ban"に感心したのはこのフィルタ用ファイルの豊富さで、sshdだけではなく、メールサーバのpostfixやexim、qmail、dovecot、FTPサーバのproftpdやvsftpd、wuftpd、その他、apache httpdやPHP、mysql、named 等、広く使われているサーバにはたいていフィルタが用意されているようです。

これらのフィルタにより総当たり攻撃が検出されるとjail.confのaction行で指定した処理が実行されます。action行で指定する処理は/etc/fail2ban/action.d/に収められており、Linux用のiptablesを使う処理のみならず、tcpwrapper用にhosts.denyファイルを修正する処理やBSD系OSで使われているpfやipfw用の処理も用意されています。また、接続を拒否する処理以外にも、ブロックしたIPアドレスを外部のデータベースに登録したり、攻撃元の情報をwhoisで調べてメールで送信するような処理も用意されています。

今回の例でactionとして指定したのはiptablesとsendmail-whoisで、前者がiptablesコマンドを利用して攻撃元サイトをブロックするための処理、後者が攻撃元サイトをwhoisで調べた結果をsendmailで通知する処理です。

前者の設定は/etc/fail2ban/action.d/iptables.confに記述されているので、一部を眺めてみましょう。

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
...
# Option:  actionstart
# Notes.:  command executed once at the start of Fail2Ban.
# Values:  CMD
#
actionstart = <iptables> -N f2b-<name>
              <iptables> -A f2b-<name> -j <returntype>
              <iptables> -I <chain> -p <protocol> --dport <port> -j f2b-<name>

# Option:  actionstop
# Notes.:  command executed once at the end of Fail2Ban
# Values:  CMD
#
actionstop = <iptables> -D <chain> -p <protocol> --dport <port> -j f2b-<name>
             <iptables> -F f2b-<name>
             <iptables> -X f2b-<name>
...
# Option:  actionban
# Notes.:  command executed when banning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    See jail.conf(5) man page
# Values:  CMD
#
actionban = <iptables> -I f2b-<name> 1 -s <ip> -j <blocktype>
...

これらの処理は設定ファイルで指定した[name=SSH, port=ssh, protocol=tcp]という引数を使って実行されます。Fail2banが起動されると、まずactionstart部の処理が実行され、iptablesコマンドを使ってそれぞれのサービスごとにチェーンを用意します。その後、攻撃元のIPアドレスを拒否する際は、actionban部で該当するIPアドレスからのパケットをREJECTするように、それぞれのチェーンに登録していきます。なお、actionban部にある<blocktype>は事前に読み込むiptables-common.confで定義されており、デフォルトでは"REJECT --reject-with icmp-port-unreachable"という設定になっています。

sendmail-whoisの処理は/etc/fail2ban/action.d/sendmail-whois.confに記述され、攻撃元のIPアドレスと共に、そのアドレスをwhoisで検索した結果を指定した宛先にメールで送信します。actionban部の<sendername>や<sender>、<dest>にはjail.confで[...]内に指定した引数が展開されます。

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
...
[Definition]
...
actionban = printf %%b "Subject: [Fail2Ban] <name>: banned <ip> from `uname -n`
            Date: `LC_ALL=C date +"%%a, %%d %%h %%Y %%T %%z"`
            From: <sendername> <<sender>>
            To: <dest>\n
            Hi,\n
            The IP <ip> has just been banned by Fail2Ban after
            <failures> attempts against <name>.\n\n
            Here is more information about <ip> :\n
            `/usr/bin/whois <ip> || echo missing whois program`\n
            Regards,\n
            Fail2Ban" | /usr/sbin/sendmail -f <sender> <dest>
...

このsendmail-whois.confが実行されると、実際にはこんなメールが飛んできます。

なお、本文中で紹介したssh-iptableはサンプル例のため、メールの画面は手元で運用しているpostfixに対する監視から届いたものを用いました。

以上見てきたようにFail2banは、「⁠ログファイルを監視して、異常があればそれに応じた対応を取る」という作業をスクリプトで自動化するという設計方針になっており、状況とそれに応じた対策をわかりやすく指定できます。

次回は、Fail2banの実際の動作例を紹介しつつ、最近の総当たり攻撃の状況を検討してみる予定です。