[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[debian-users:51584] fail2banが動かない: lenny (Re: Re: システムをクラッキングされたようです・・)
川藤と申します。
On Thu, Jan 08, 2009 at 12:55:30 +0900
you Taku YASUI <tach@debian.or.jp> wrote:
|やすいです。
|それだけではなんなので、施策をひとつ。
|fail2ban というパッケージがあります。これは、python で書かれたデーモンで、
|ログを監視して、おかしな文字列が短時間に複数記録された場合に、一定時間
|その IP アドレスからのパケットを iptables で DROP するように設定してくれます。
|デフォルトでは、10分に6回 SSH のパスワードを間違えたら、その IP アドレス
|からのパケットを 10 分間遮断します。
fail2banというのを初めて知りました。便利そうなので早速インストー
ルしてみたのですが、エラーになってしまいます。/var/log/fail2ban.log
には以下のように記録されています。
まず、fail2banを動かしただけの状態で、
2009-01-10 00:14:55,492 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3
2009-01-10 00:14:55,493 fail2ban.jail : INFO Creating new jail 'ssh'
2009-01-10 00:14:55,493 fail2ban.jail : INFO Jail 'ssh' uses poller
2009-01-10 00:14:55,913 fail2ban.filter : INFO Added logfile = /var/log/auth.log
2009-01-10 00:14:55,914 fail2ban.filter : INFO Set maxRetry = 6
2009-01-10 00:14:55,916 fail2ban.filter : INFO Set findtime = 600
2009-01-10 00:14:55,916 fail2ban.actions: INFO Set banTime = 600
2009-01-10 00:14:56,011 fail2ban.jail : INFO Jail 'ssh' started
2009-01-10 00:14:56,274 fail2ban.actions.action: ERROR iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh returned 100
2009-01-10 00:18:31,550 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
2009-01-10 00:20:02,747 fail2ban.filter : INFO Log rotation detected for /var/log/auth.log
となります。iptablesでエラーしているようです。
その後、sshの失敗を繰り返すと以下のようになります。
2009-01-10 01:00:30,941 fail2ban.actions: WARNING [ssh] Ban 192.168.1.3
2009-01-10 01:00:30,946 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
2009-01-10 01:00:30,946 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2009-01-10 01:00:30,985 fail2ban.actions.action: ERROR iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh returned 100
2009-01-10 01:00:30,990 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
2009-01-10 01:00:30,990 fail2ban.actions.action: CRITICAL Unable to restore environment
2009-01-10 01:01:11,104 fail2ban.actions: WARNING [ssh] 192.168.1.3 already banned
これは七回トライして失敗した状態です。
lennyを使っており、fail2banはインストール時のままで設定は変更し
ていません。iptablesもこれまで使っていなかったので、特に設定はして
いません(今まではkernel自身もiptableを使わないようにしてコンパイ
ルしていました。今回、それを有効にしてコンパイルしなおしました)。
検索エンジンで情報を探したのですが、fail2banに関する情報は少ない
ですね。今回のようなトラブルについては見つけることができませんでし
た。
どなたかアドバイス頂けると助かります。
川藤