[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:51584] fail2banが動かない: lenny (Re: Re: システムをクラッキングされたようです・・)



 川藤と申します。

On Thu, Jan 08, 2009 at 12:55:30 +0900
you Taku YASUI <tach@debian.or.jp> wrote:
 |やすいです。

 |それだけではなんなので、施策をひとつ。
 |fail2ban というパッケージがあります。これは、python で書かれたデーモンで、
 |ログを監視して、おかしな文字列が短時間に複数記録された場合に、一定時間
 |その IP アドレスからのパケットを iptables で DROP するように設定してくれます。
 |デフォルトでは、10分に6回 SSH のパスワードを間違えたら、その IP アドレス
 |からのパケットを 10 分間遮断します。

 fail2banというのを初めて知りました。便利そうなので早速インストー
ルしてみたのですが、エラーになってしまいます。/var/log/fail2ban.log
には以下のように記録されています。

 まず、fail2banを動かしただけの状態で、

    2009-01-10 00:14:55,492 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.3
    2009-01-10 00:14:55,493 fail2ban.jail   : INFO   Creating new jail 'ssh'
    2009-01-10 00:14:55,493 fail2ban.jail   : INFO   Jail 'ssh' uses poller
    2009-01-10 00:14:55,913 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
    2009-01-10 00:14:55,914 fail2ban.filter : INFO   Set maxRetry = 6
    2009-01-10 00:14:55,916 fail2ban.filter : INFO   Set findtime = 600
    2009-01-10 00:14:55,916 fail2ban.actions: INFO   Set banTime = 600
    2009-01-10 00:14:56,011 fail2ban.jail   : INFO   Jail 'ssh' started
    2009-01-10 00:14:56,274 fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
    iptables -A fail2ban-ssh -j RETURN
    iptables -I INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh returned 100
    2009-01-10 00:18:31,550 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
    2009-01-10 00:20:02,747 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log

となります。iptablesでエラーしているようです。

 その後、sshの失敗を繰り返すと以下のようになります。

    2009-01-10 01:00:30,941 fail2ban.actions: WARNING [ssh] Ban 192.168.1.3
    2009-01-10 01:00:30,946 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
    2009-01-10 01:00:30,946 fail2ban.actions.action: ERROR  Invariant check failed. Trying to restore a sane environment
    2009-01-10 01:00:30,985 fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
    iptables -A fail2ban-ssh -j RETURN
    iptables -I INPUT -p tcp -m multiport --dports ssh -j fail2ban-ssh returned 100
    2009-01-10 01:00:30,990 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q fail2ban-ssh returned 100
    2009-01-10 01:00:30,990 fail2ban.actions.action: CRITICAL Unable to restore environment
    2009-01-10 01:01:11,104 fail2ban.actions: WARNING [ssh] 192.168.1.3 already banned

 これは七回トライして失敗した状態です。

 lennyを使っており、fail2banはインストール時のままで設定は変更し
ていません。iptablesもこれまで使っていなかったので、特に設定はして
いません(今まではkernel自身もiptableを使わないようにしてコンパイ
ルしていました。今回、それを有効にしてコンパイルしなおしました)。

 検索エンジンで情報を探したのですが、fail2banに関する情報は少ない
ですね。今回のようなトラブルについては見つけることができませんでし
た。

 どなたかアドバイス頂けると助かります。


川藤