CentOS 7 で fail2ban を使ってみたメモ
fail2ban とは、ログファイルを読み取り、不審なアクセスを行なった IP Address 特定し、当該 IP Address からのアクセスを自動的に一定時間(期間)拒否することができるソフトウェアです。
訳あって、すぐに sshd のポートを変更できないサーバーを任されていますが、Port 22 への攻撃が激しいため fail2ban を導入しました。
作業は全て root で行っていることを前提としています。
環境
- CentOS 7.2
インストールと起動
fail2ban は EPEL (エンタープライズ Linux 用拡張パッケージ) リポジトリにありますので、まだ EPEL リポジトリを導入していない時は次のように導入します。
bash
yum install epel-releaseEPEL リポジトリの導入が済みましたら、早速 fail2ban のインストールと起動を行います。
yum install fail2ban
systemctl start fail2ban
systemctl enable fail2banこれだけで導入は完了です。
続いて sshd の監視を行う設定を書いていきます。
設定
設定ファイルは /etc/fail2ban/jail.conf になりますが、直接触るのではなく、/etc/fail2ban/jail.local を作ることで設定をオーバーライドできるようです。
例えば、下記のような 2 行だけのファイルを作成し、/etc/fail2ban/jail.local として保存すると、sshd の監視を行うことができます。
[sshd]
enabled = trueつまり jail.local に書かれていない記述は jail.conf がデフォルト値として使われるようですので、jail.conf を参考に jail.local を作っていくことを考えればよいかと思います。
しかし、個人的には fail2ban のアップデートを行なった時に動作が変わることを極力防ぐことができるとも考えられるので、/etc/fail2ban/jail.conf をコピーして使っても良いと考えます。
cp -p /etc/fail2ban/jail.conf /etc/fail2ban/jail.local設定の反映
daemon を再起動させます。
systemctl start fail2ban動作確認
現在の状態を確認するには次のコマンドで行います。
fail2ban-client status sshd表示例
$ fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 5
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 1
|- Total banned: 1
`- Banned IP list: 117.135.144.233現在の ban リストの確認方法は次のコマンドで行います。
ipset --list表示例
Name: fail2ban-sshd
Type: hash:ip
Revision: 1
Header: family inet hashsize 1024 maxelem 65536 timeout 600
Size in memory: 16656
References: 1
Members:
117.135.144.233 timeout 120fail2ban-sshd という名前でまとめて、iptables で制御しているようです。
iptables にこのようなルールが追加されていました。
Chain INPUT_direct (1 references)
target prot opt source destination
REJECT tcp -- anywhere anywhere multiport dports ssh match-set fail2ban-sshd src reject-with icmp-port-unreachable生ログをみてみます。
more /var/log/fail2ban.log2017-01-08 15:03:54,036 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 15:03:54,038 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 15:03:54,048 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 15:03:54,054 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 15:03:54,574 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 15:03:55,356 fail2ban.actions [29852]: NOTICE [sshd] Ban 117.135.144.233
2017-01-08 15:13:56,161 fail2ban.actions [29852]: NOTICE [sshd] Unban 117.135.144.233
2017-01-08 15:14:20,713 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 15:16:30,647 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 15:18:36,460 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 15:20:37,708 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 15:22:48,156 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 15:22:48,879 fail2ban.actions [29852]: NOTICE [sshd] Ban 117.135.144.233
:
省略
:
2017-01-08 19:00:28,966 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 19:02:27,070 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 19:04:30,232 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 19:04:31,068 fail2ban.actions [29852]: NOTICE [sshd] Ban 117.135.144.233
2017-01-08 19:14:31,870 fail2ban.actions [29852]: NOTICE [sshd] Unban 117.135.144.233
2017-01-08 19:14:45,760 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 19:15:55,291 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233
2017-01-08 19:17:47,258 fail2ban.filter [29852]: INFO [sshd] Found 117.135.144.233ban -> unban -> ban -> unban を延々と繰り返している IP Address があります。
このような攻撃への対策も fail2ban で行えます。
常習犯対策
繰り返し不正アクセスを試みる IP Address に対しては、recidive の設定をします。recidive とはオランダ語で「常習犯」という意味のようで、ある一定期間で決められた回数の BAN が行われた IP Address を長期間アクセス拒否にする設定です。
/etc/fail2ban/jail.local に次を追記しました。
[recidive]
enabled = true
maxretry = 33 回 BAN を繰り返した IP Address を対象としています。
設定後は忘れずに daemon を再起動します。
systemctl start fail2banその後ログをみてみます。
grep "recidive" /var/log/fail2ban.log2017-01-08 20:49:38,035 fail2ban.jail [944]: INFO Creating new jail 'recidive'
2017-01-08 20:49:38,036 fail2ban.jail [944]: INFO Jail 'recidive' uses poller
2017-01-08 20:49:38,042 fail2ban.server [944]: INFO Jail recidive is not a JournalFilter instance
2017-01-08 20:49:38,059 fail2ban.filter [944]: INFO [recidive] Found 117.135.144.233
2017-01-08 20:49:38,060 fail2ban.filter [944]: INFO [recidive] Found 117.135.144.233
2017-01-08 20:49:38,061 fail2ban.jail [944]: INFO Jail 'recidive' started
2017-01-08 20:49:38,066 fail2ban.filter [944]: INFO [recidive] Found 117.135.144.233
2017-01-08 20:49:38,069 fail2ban.filter [944]: INFO [recidive] Found 117.135.144.233
2017-01-08 20:49:38,071 fail2ban.filter [944]: INFO [recidive] Found 117.135.144.233
2017-01-08 20:49:38,072 fail2ban.filter [944]: INFO [recidive] Found 117.135.144.233
2017-01-08 20:49:38,074 fail2ban.filter [944]: INFO [recidive] Found 117.135.144.233
2017-01-08 20:49:38,078 fail2ban.filter [944]: INFO [recidive] Found 117.135.144.233
2017-01-08 20:49:38,080 fail2ban.filter [944]: INFO [recidive] Found 117.135.144.233
2017-01-08 20:49:38,082 fail2ban.filter [944]: INFO [recidive] Found 117.135.144.233
2017-01-08 20:49:38,084 fail2ban.filter [944]: INFO [recidive] Found 117.135.144.233
2017-01-08 20:49:38,086 fail2ban.filter [944]: INFO [recidive] Found 117.135.144.233
2017-01-08 20:49:38,088 fail2ban.filter [944]: INFO [recidive] Found 117.135.144.233
2017-01-08 20:49:38,090 fail2ban.filter [944]: INFO [recidive] Found 91.224.161.88
2017-01-08 20:49:38,092 fail2ban.filter [944]: INFO [recidive] Found 117.135.144.233
2017-01-08 20:49:38,387 fail2ban.actions [944]: NOTICE [recidive] Ban 117.135.144.233しつこい 117.135.144.233 が recidive に引っかかったようです。
とりあえずこんな感じにしました
sshd について、600 秒以内(デフォルト)に 3 回不正アクセスを行なった IP Address を 600 秒間(デフォルト) BAN します
常習犯(recidive)について、1 日以内(デフォルト)に 3 回 BAN になった IP Address を 1 週間(デフォルト) BAN します。
[sshd]
enabled = true
maxretry = 3
[recidive]
enabled = true
maxretry = 3ちなみに複数ポートをチェックする時は
複数ポートを監視する時にはカンマで区切るようです。
[sshd]
enabled = true
port = ssh,10022
maxretry = 3