[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:51584] fail2banが動かない: lenny (Re: Re: システムをクラッキングされたようです・・)

From: KAWAFUJI Mitsuhiro <kaw@xxxxxxxxx>
Subject: [debian-users:51584] fail2banが動かない: lenny (Re: Re: システムをクラッキングされたようです・・)
Date: Sat, 10 Jan 2009 01:12:40 +0900
Content-disposition: inline
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level:
X-spam-status: No, score=-0.5 required=10.0 tests=KI,PLING_QUERY, SUBJECT_ENCODED_TWICE autolearn=disabled version=3.1.7-deb3
References: <20090107111506.3f9fe16f.shogijunki@xxxxxxxxxxx> <20090107115225.06E6.IKARI-ML@xxxxxxxx> <20090107115826.06E9.IKARI-ML@xxxxxxxx> <20090107123519.3e2dd837.shogijunki@xxxxxxxxxxx> <JJ2009010712505634.189439484@xxxxxxxxxxxxx> <JU2009010712560736.189751187@xxxxxxxxxxxxx> <20090107140715.33fcd73e.shogijunki@xxxxxxxxxxx> <151DB69A-2052-4941-A313-415686563D34@xxxxxxxxx> <49654AFE.20104@xxxxxxxxx> <f38522190901071955v40e37afey1d86a6683504fd4a@xxxxxxxxxxxxxx>
Message-id: <20090109161235.GA10770@xxxxxxxxx>
X-mail-count: 51584
User-agent: Mutt/1.5.14 (2007-02-12)

　川藤と申します。

On Thu, Jan 08, 2009 at 12:55:30 +0900
you Taku YASUI <tach@debian.or.jp> wrote:
 |やすいです。

 |それだけではなんなので、施策をひとつ。
 |fail2ban というパッケージがあります。これは、python で書かれたデーモンで、
 |ログを監視して、おかしな文字列が短時間に複数記録された場合に、一定時間
 |その IP アドレスからのパケットを iptables で DROP するように設定してくれます。
 |デフォルトでは、10分に6回 SSH のパスワードを間違えたら、その IP アドレス
 |からのパケットを 10 分間遮断します。

　fail2banというのを初めて知りました。便利そうなので早速インストー
ルしてみたのですが、エラーになってしまいます。/var/log/fail2ban.log
には以下のように記録されています。

　まず、fail2banを動かしただけの状態で、

    2009-01-10 00:14:55,492 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3
    2009-01-10 00:14:55,493 fail2ban.jail   : INFO   Creating new jail 'ssh'
    2009-01-10 00:14:55,493 fail2ban.jail   : INFO   Jail 'ssh' uses poller
    2009-01-10 00:14:55,913 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
    2009-01-10 00:14:55,914 fail2ban.filter : INFO   Set maxRetry = 6
    2009-01-10 00:14:55,916 fail2ban.filter : INFO   Set findtime = 600
    2009-01-10 00:14:55,916 fail2ban.actions: INFO   Set banTime = 600
    2009-01-10 00:14:56,011 fail2ban.jail   : INFO   Jail 'ssh' started
    2009-01-10 00:14:56,274 fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
    iptables -A fail2ban-ssh -j RETURN
    iptables -I INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh returned 100
    2009-01-10 00:18:31,550 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
    2009-01-10 00:20:02,747 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log

となります。iptablesでエラーしているようです。

　その後、sshの失敗を繰り返すと以下のようになります。

    2009-01-10 01:00:30,941 fail2ban.actions: WARNING [ssh] Ban 192.168.1.3
    2009-01-10 01:00:30,946 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
    2009-01-10 01:00:30,946 fail2ban.actions.action: ERROR  Invariant check failed. Trying to restore a sane environment
    2009-01-10 01:00:30,985 fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
    iptables -A fail2ban-ssh -j RETURN
    iptables -I INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh returned 100
    2009-01-10 01:00:30,990 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
    2009-01-10 01:00:30,990 fail2ban.actions.action: CRITICAL Unable to restore environment
    2009-01-10 01:01:11,104 fail2ban.actions: WARNING [ssh] 192.168.1.3 already banned

　これは七回トライして失敗した状態です。

　lennyを使っており、fail2banはインストール時のままで設定は変更し
ていません。iptablesもこれまで使っていなかったので、特に設定はして
いません（今まではkernel自身もiptableを使わないようにしてコンパイ
ルしていました。今回、それを有効にしてコンパイルしなおしました）。

　検索エンジンで情報を探したのですが、fail2banに関する情報は少ない
ですね。今回のようなトラブルについては見つけることができませんでし
た。

　どなたかアドバイス頂けると助かります。


川藤

Follow-Ups:
- [debian-users:51587] Re: fail2banが動かない: lenny (Re: Re: システムをクラッキングされたようです・・)
  - From: fubabz
- [debian-users:51588] Re: fail2banが動かない: lenny (Re: Re: システムをクラッキングされたようです・・)
  - From: Hideki Yamane

References:
- [debian-users:51531] Re: システムをクラッキングされたようです・・
  - From: J K
- [debian-users:51537] Re: システムをクラッキングされたようです・・
  - From: ikari-ml
- [debian-users:51539] Re: システムをクラッキングされたようです・・
  - From: ikari-ml
- [debian-users:51541] Re: システムをクラッキングされたようです・・
  - From: J K
- [debian-users:51543] Re: システムをクラッキングされたようです・・
  - From: Shinya TAKEBAYASHI
- [debian-users:51544] Re: システムをクラッキングされたようです・・
  - From: Shinya TAKEBAYASHI
- [debian-users:51548] Re: システムをクラッキングされたようです・・
  - From: J K
- [debian-users:51552] Re: システムをクラッキングされたようです・・
  - From: akihiro yoshida
- [debian-users:51568] Re: システムをクラッキングされたようです・・
  - From: Tomoo Nomura
- [debian-users:51569] Re: システムをクラッキングされたようです・・
  - From: Taku YASUI

Prev by Date: [debian-users:51583] [Translate] [SECURITY] [DSA 1698-1] New gforge packages fix SQL injection
Next by Date: [debian-users:51585] Re: 「まとめ」Re: システムをクラッキングされたようです・・
Previous by thread: [debian-users:51569] Re: システムをクラッキングされたようです・・
Next by thread: [debian-users:51587] Re: fail2banが動かない: lenny (Re: Re: システムをクラッキングされたようです・・)
Index(es):
- Date
- Thread