blacklistd(8)でsshd DoS攻撃を防止する方法
FreeBSD 11.0-RELEASEにNetBSDのblacklistd(8)がマージされました。blacklistd(8)はsyslogd(8)のように各サーバから認証失敗データなどを収集し、設定に基づいて上限に到達した通信を一定期間ブロックするといったものです。ブルートフォース攻撃やDoS攻撃に対する緩和機能として利用できます。
FreeBSD 11.1-RELEASEではsshd(8)のコードにblacklistd(8)と連動するためのコードが追加されました。このため、設定をすることでsshdに対するDoS攻撃を防止するといったことが簡単にできるようになりました。ここではファイアウォール機能ipfw(8)を利用する場合の設定方法を紹介します。
まず、/etc/rc.confファイルに次のような設定を追加します。
sshdはデフォルトの設定ではblacklistd(8)に対応していませんので、「sshd_flags="-o UseBlacklist=yes"」のようにフラグを追加して機能を有効にします。blacklistd(8)を起動するために「blacklistd_enable="YES"」を追加し、さらにファイアウォール機能ipfwを有効にするために「firewall_enable="YES"」と「firewall_type="OPEN"」を追加します。すでにipfw(8)を使っている場合には「firewall_type="OPEN"」は特に必要なく、現在の設定のままで利用してください。
このままではblacklistd(8)がipfw(8)を使わないので、次のように鍵となるファイルを作ります。これでipfw(8)が使われるようになります。
この状態でシステムを再起動すると、次のようにsshd(8)がblacklistd(8)を利用可能な状態で起動してきます。
ipfw(8)が有効になっているので、たとえば次のようなフィルタリングルールが動作していることを確認できます。
blacklistd(8)も次のように動作していることを確認できます。
blacklistd(8)の保持しているルールはblacklistclt(8)コマンドで次のように確認できます。システムを再起動した段階では次のようになんのルールも入っているはずです。
blacklistd(8)の設定は/etc/blacklistd.confです。このファイルはデフォルトでは次のようになっています。この場合、sshにおける認証が3回失敗すると以後24時間はアクセスできない状態になります。
ほかのホストからsshでログインを試み、3回失敗してみます。すると次のように、4回目はそもそもサーバへの接続がブロックされるようになります。
この状態でipfw(8)のルールをチェックすると、22番ポートへのアクセスがブロックされたことを確認できます。
blacklistctl(8)コマンドでブロック情報を確認すると、次のようにルールが追加されたことを確認できます。
blacklistctl(8)コマンドは-rを指定するとルールが適用される残り時間を表示させることもできます。次のような感じです。
blacklistd(8)はデフォルトの設定だと/var/db/blacklistd.dbに接続エントリ情報を保持していますので、再起動してもこのデータは保持されたままです。この保持しているデータに従ってもう一度ブロックルールを適用するか、またはルールをすべてクリアするかをblacklistd(8)のオプションで指定できます。-fならルールをクリア、-rならルールをベースにブロックルールを再適用です。設定としては次のような設定を/etc/rc.confに追加します。
blacklistd.conf(5)には[local]と[remote]という2つのエントリがあります。使い方としては[local]の方がデフォルト設定で、[remote]の方がそれを上書きするような関係になっています。たとえば、[local]の方にはデフォルトのブロックルールを書いておいて、[remote]の方にはたとえば特定のホストに関してはブロックからはずすホワイトリスト的な設定を書くとか、規制回数を変更するといった感じです。この2つのルールを使いこなすことで現実的なルールを書いていきます。
ここまでの設定でだいたい一通り基本的な操作はできるようになります。blacklistd(8)はlibblacklist APIを使うことで汎用的に利用できますので、ほかのサーバをblacklistd(8)対応にしたり、独自に開発しているサーバをblacklistd(8)に対応させるといったことも簡単に実現できます。
blacklistd(8)の使い方に関しては下記勉強会でより詳しい内容を取り上げようと思います。ご興味ある方は勉強会の方もご検討いただければと思います。
勉強会
10月4日(水)19:00~ 第66回 FreeBSD勉強会~vBSD 2017とEuroBSDCon 2017から旬な技術をご報告! - ヴァル研究所 セミナールーム
9月に米国バージニア州で開催されるvBSDcon 2017とフランスで開催されるEuroBSDCon 2017から、最新の*BSDトピックを面白いところにしぼってお伝えします。カンファレンスへの渡航費用と参加費用を見ると、日本でこの情報を得られるのはとってもお得です。みなさまのお越しをお待ちしております。
本勉強会への参加者には抽選か勝ち抜きかデーモンTシャツなどのグッズをお渡しします。ふるってご参加ください。
参加登録はこちらから。
10月26日(木)19:00~第67回 FreeBSD勉強会~blacklistd(8)でsshd DoS攻撃を防止する方法 基礎から応用まで - ドワンゴ セミナールーム
FreeBSD 11.0-RELEASEにはblacklistd(8)と呼ばれるデーモンが取り込まれました。これはNetBSDのblacklistd(8)をマージしたもので、設定に従ってサーバに対するDoS攻撃とみられるアクセスに対し、自動的にアクセスを閉じるといった処理をしてくれます。
FreeBSD 11.1-RELEASEからはシステムのsshd(8)がblacklistd(8)に対応するようになりました。ログインに何回か失敗したら何時間の間アクセスをブロックするといった設定を行うことができます。ホワイトリスト的な設定も追加することでき、全体としてのブロック設定をおこないつつ、特定のホストからのアクセスは許可したり、特定のホストからのアクセスは規制を緩くしておくといったことも可能です。
blacklistd(8)と類似した機能を提供するソフトウェアにはsshguard、fail2ban、denyhostsなどがあります。これらソフトウェアと比較したblasklistd(8)の特徴は処理の軽快さにあります。また、ipfw、pf、ipfilterというFreeBSDが提供しているすべてのファイアウォール機能に対応しているほか、もちろんNetBSD npfに対応しています。
blacklistd(8)はライブラリとしてlibblacklistを提供しているため、sshdに限らずほかのさまざまなソフトウェアからも利用できる汎用的な機能です。いくらかのコードの書き換えでblacklistd(8)を利用できるようにすることができます。
今回の勉強会ではblacklistd(8)がどのように動作しているのか紹介するとともに、設定方法などの基本的な方法から、既存のソフトウェアをblacklistd(8)に対応させる場合にどのように開発を行えばよいかなどを紹介します。
参加登録はこちらから
FreeBSD勉強会 発表者募集
FreeBSD勉強会では発表者を募集しています。FreeBSDに関して発表を行いたい場合、@daichigotoまでメッセージをお願いします。30分~1時間ほどの発表資料を作成していただき発表をお願いできればと思います。