Debian 10 + nftables + fail2ban

はじめに

インストールはこちら

nftablesを使ったアクセス制御はこちら

fail2banとは

ログを監視してTCPで提供されているサービスに過剰にアクセスしてくるIPアドレスを一定時間アクセスさせないようにするソフトウェア。

Debian 10での注意点

Debian 9まではiptablesで動いており、Debian 10でもデフォルトの設定はiptablesベースになっている。このため、nftablesを使ってアクセス制御をしている場合には、適宜設定変更をしてあげないといけない。

fail2banのインストールと設定

インストールする。

% sudo apt install fail2ban

設定ファイルは /etc/fail2ban以下におかれる構成は以下の通り。

% ls -1
action.d/ 
fail2ban.conf
fail2ban.d/
filter.d/
jail.conf
jail.d/
paths-arch.conf
paths-common.conf
paths-debian.conf
paths-opensuse.conf

jail.conf を編集する。 ignoreipで監視対象外のIPアドレスを指定し、banactionとbanaction_allportsでiptablesからnftablesを使うように設定を変更する。

% cd /etc
% sudo cp -p jail.conf jail.conf.org
% sudo vi jail.conf
% iff jail.conf.org jail.conf
54a55
> ignoreip = 127.0.0.1/8 ::1 XXX.XXX.XXX.XXX/24  # 監視対象外のIPアドレス
167,168c168,171
< banaction = iptables-multiport
< banaction_allports = iptables-allports
---
> #banaction = iptables-multiport
> banaction = nftables-multiport
> #banaction_allports = iptables-allports
> banaction_allports = nftables-allports

Debian 10では標準でsshがfail2banの監視対象となっている。どのポート(サービス)を監視するのかは jail.confにサービスと設定の一覧があるので、それを利用する。たとえば、 SMTP, SMTP AUTH, POP3, POP3Sなどをまとめて監視する postfix-sasl の監視を有効にしたい場合は以下のようにする。

% cd jail.d/
% sudo touch postfix-sasl.conf
% sudo vi postfix-sasl.conf

postfix-sasl.confの中見は以下のように記載する。

[postfix-sasl]
enabled = true

fail2banを再起動する。

% sudo systemctl restart fail2ban

Debian 10 (buster)のnftablesでアクセス制御 - 発声練習で設定したとおりに/etc/nftable.confを設定しておくと、banしたIPアドレスが存在したときに fail2banが勝手に nftにルールを追加してくれる。私の場合は以下のように追加していた。

% sudo nft list ruleset
table inet filter {
	set f2b-postfix-sasl {
		type ipv4_addr
	}
〜 以下、略 〜

動作確認は /var/log/fail2ban.log で確認する。 nftablesのルール設定が不適切な場合は適切に設定する。

私の場合banについては大丈夫なのだけど、2019年11月6日現在、banを解除するときにエラーがでている。

メモ:「平成24年児童手当の使途等に係る調査報告書」の修正

素晴らしい事例。記載ミスは残念だったけど修正を素早くしたのは素晴らしいと思う。

www.nikkei.com

www.shiratamaotama.com

www.shiratamaotama.com

www.mhlw.go.jp

www.shiratamaotama.com

www.asahi.com

www.nikkei.com

修正したのは世帯年収別の児童手当の使い道に関する調査。たとえばこれまで世帯年収1000万円以上の受給者は児童手当の32%を「大人のおこづかいや遊興費」に充てているとしていたが、正しくは0.9%だった。32%は「子どもの将来のための貯蓄・保険料」の誤りだった。取り違えが起きた原因は調査中としている。

これに伴い財務省も15日、財政制度等審議会(財務相の諮問機関)の資料を修正。世帯年収が高いほど児童手当が大人のお小遣いなどに使われているとの文言を「使う必要がなく残っている等の回答が多い」とした。児童手当の廃止を含む見直しを求める方針は変更なしとした。
児童手当の使い道、厚労省が調査結果修正 :日本経済新聞より)

Debian 10 (buster)のnftablesでアクセス制御

はじめに

Debian 10 のインストールはDebian 10 (buster)を用いたサーバ設定メモ - 発声練習

方針

Debian 10からアクセス制御をiptablesからnftablesで行うようになった。

  • Debian 9以前のiptablesの設定をテキストファイルに出力する
  • Debian 10上で iptables-restore-translate でiptablesの設定をnftablesの設定に変更する。
  • 編集したものを /etc/nftables.conf にコピーし、設定を反映させる。

(必要に応じて) iptablesの設定をテキストファイルに出力

% sudo iptables-save > iptables.conf

nftablesのインストール

% sudo apt install nftables
% sudo  systemctl enable nftables.service

現在の設定を表示する。

% sudo nft list ruleset

iptablesの設定をnftablesの設定へ変換

% sudo /usr/sbin/iptables-restore-translate -f iptables.conf > /tmp/nftables-temp.conf

/tmp/nftables-temp.conf を適宜編集する。/etc/nftables.conf の先頭2行は必ず追加しないといけない。編集したら/etc/nftables.confとして保存する。

% cd /etc
% sudo cp -p nftables.conf nftables.conf.org
% sudo cp /tmp/nftables-temp.conf nftables.conf
% sudo nft -f /etc/nftables.conf
% sudo nft list ruleset

設定例

元のiptablesの設定は そこそこセキュアなlinuxサーバーを作る - Qiitaを参考にしている。

#!/usr/sbin/nft -f

# 既存の設定をリセット
flush ruleset

table inet filter {
	chain input {
		type filter hook input priority 0;
	}
	chain forward {
		type filter hook forward priority 0;
	}
	chain output {
		type filter hook output priority 0;
	}
}

# 以下、iptables-restore-translateで変換したときに 
# INPUT, FORWARD, OUTPUTが大文字だったので小文字にした。
#
# また、 counter の後ろに ”packets 数字 bytes 数字" という記述があるがこれは削っても良いので削った。
# 以下は IPv4に対する設定。
table ip filter {
	chain input {
		type filter hook input priority 0; policy accept;
		
                # ICMPを許可 
		ip protocol icmp counter accept

                # 接続確立済みのTCPパケットを許可 
		ct state established,related counter accept

                # ローカルホスト(127.0.0.1)からのアクセス許可 
		iifname "lo" counter accept

                # ipspoofing対策
		ip saddr 10.0.0.0/8 counter drop
		ip saddr 172.16.0.0/12 counter drop
		#ip saddr 192.168.0.0/16 counter drop
		counter
		ip saddr 127.0.0.0/8 counter drop
		ip saddr 169.254.0.0/16 counter drop
		ip saddr 192.0.2.0/24 counter drop
		ip saddr 224.0.0.0/4 counter drop
		ip daddr 255.255.255.255 counter drop

                # SSH(22番ポート)へのアクセスは許可
		tcp dport ssh counter accept

                # HTTP(80番ポート)、HTTPS(443番ポート)へのアクセスは許可
		tcp dport http counter accept
		tcp dport https counter accept

                # SMTP(25番)へのアクセスは許可
		tcp dport smtp counter accept

		# SMTP AUTH on TLS(465)とPOP3S(995)へのアクセスは許可
		tcp dport urd counter accept
		tcp dport pop3s counter accept

                # muninへのアクセスはXX.XX.XX.XX/24の中からのみ許可
		ip saddr XX.XX.XX.XX/24 tcp dport munin counter accept

                # ポートスキャン対策
		meter portscan size 65535 { ip saddr limit rate 10/second burst 10 packets}  counter jump portscanner

               # 上記に当てはまらないTCP, UDPのパケットは不可
		ip protocol tcp counter reject with tcp reset
		ip protocol udp counter reject
		counter reject with icmp type prot-unreachable
	}

	chain forward {
		type filter hook forward priority 0; policy accept;
		counter reject
	}

	chain output {
		type filter hook output priority 0; policy accept;
		counter accept
	}

	chain portscanner {
		counter  drop
	}
}

ポートの開き具合をチェックする。

設定したサーバ上で開いているポートを調べる。

% lsof -i

別のマシンからサーバで開いているポートを調べる(注意:これは攻撃の第一段階のポートスキャンにあたるので自分で管理しているサーバにだけおこなうこと)。なお、当該サーバのIPアドレスをYY.YY.YY.YY とする

% sudo nmap YY.YY.YY.YY  (TCPのポートをチェック)
% sudo nmap -sU YY.YY.YY.YY (UDPのポートをチェック)

Debian 10 (buster)上でPostfixとDovecotを用いてSMTP認証+TLS

はじめに

Debian 10 のインストールはDebian 10 (buster)を用いたサーバ設定メモ - 発声練習

本文

いずれちゃんと書く。

SMTP認証は以下に従った。

Dovecotは以下を参考にした

TLSについては以下を参考にした。

Debian 10 (buster)のApache 2.4でSuexec

はじめに

Debian 10 のインストールはDebian 10 (buster)を用いたサーバ設定メモ - 発声練習
Debian 8での場合はDebian/GNU Linux WheezyでSuexec - 発声練習

方針

  • パッケージを使って構築する
  • 研究室共用ページはドキュメントルートに
  • 個々人のページは/home/USER/public_html以下に
  • CGIをSuExecで許す
  • SSIも許す

Apache2のインストール

apache2-suexecだとドキュメントルートとユーザディレクトリを変更できない。そこで、apache2-suexec-customを利用する

% sudo aptitude install apache2-suexec-custom

/etc/apache2/suexec/www-data を編集し、ドキュメントルートとユーザディレクトリを変更する。

% cd /etc/apache2/suexec/
% sudo cp -p www-data www-data.org
% sudo vi www-data

編集結果は以下のとおり

% diff www-data.org www-data
2c2
< public_html/cgi-bin
---
>public_html

ユーザディレクトリの部分を変更。

SuExecを有効にする。

% sudo a2enmod suexec
% sudo systemctl restart apache2

DebianやUbuntuのApacheの設定

/etc/apache2で設定する。各種設定ファイルが sites-avaiable か mods-avaiable にあり、これを a2ensite, a2enmod, a2dissite, a2dismodのコマンドでこれらの設定ファイルを sites-enabledかmodts-enabled にシンボリックリンクする。これにより、選択された設定がApacheへ反映される。

設定ファイルを変更したり、siteやmodを付け加えた場合はApacheを再起動する。

% sudo /etc/init.d/apache2 restart

DocumentRootの設定

/etc/apache2/sites-available/default を編集する。

% cd /etc/apache2/sites-available/
% sudo cp -p default default.org
% sudo vi default

編集結果は以下のとおり

% diff default.org default
< 		Options Indexes FollowSymLinks MultiViews
< 		AllowOverride None
---
> 		Options ExecCGI MultiViews SymLinksIfOwnerMatch IncludesNoExec
> 		AllowOverride All
16,22c16,22
< 	ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
< 	<Directory "/usr/lib/cgi-bin">
< 		AllowOverride None
< 		Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
< 		Order allow,deny
< 		Allow from all
< 	</Directory>
---
> 	#ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
> 	#<Directory "/usr/lib/cgi-bin">
> 	#	AllowOverride None
> 	#	Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
> 	#	Order allow,deny
> 	#	Allow from all
> 	#</Directory>

方針

  • DocumentRootは管理者しかいじらないので、.htaccessでの設定はすべて許可に(AllowOverride All)
  • CGIやSSIもDocumentRootで使うのでcgi-binの設定はコメントアウト
  • DocumentRootのOptionsは以下のとおり(参考:Apache2.2ドキュメントOptions
    • Indexesは外す(ディレクトリの中身が見えるのは良くない)
    • CGI許可:ExecCGI
    • MultiViews
    • シンボリックリンクはオーナーが一緒の場合だけ許す:SymLinksIfOwnerMatch
    • SSIを#exec コマンド と #exec CGI を除き許可: IncludesNoExec
% sudo a2enmod includes
% sudo a2enmod cgid
% sudo systemctl restart apache2

ユーザディレクトリ

/etc/apache2/mods-available/userdir.confを編集

% cd /etc/apache2/mods-available/
% sudo cp -p userdir.conf userdir.conf.org
% sudo vi userdir.conf

編集結果は以下のとおり。

% diff userdir.conf.org userdir.conf
7,15c7
<                 Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
<                 <Limit GET POST OPTIONS>
<                         Order allow,deny
<                         Allow from all
<                 </Limit>
<                 <LimitExcept GET POST OPTIONS>
<                         Order deny,allow
<                         Deny from all
<                 </LimitExcept>
---
>                 Options ExecCGI MultiViews SymLinksIfOwnerMatch IncludesNoExec
  • AllowOverrideはデフォルトのまま(「FileInfo AuthConfig Limit Indexes」の上書きOK。Optionsの上書きは許さない)
  • Limitは別にしなくて良いと思ったので削除(各自でやればよい)
  • OptionsはIndexesを外し、ExecCGIを追加
% sudo a2enmod userdir
% sudo systemctl restart apache2

.cgiの拡張子でCGIスクリプトが動くようにする

/etc/apache2/mods-available/mime.conf を編集する。

% cd /etc/apache2/mods-available/
% sudo cp -p mime.conf mime.conf.org
% sudo vi userdir.conf

編集結果は以下のとおり。

# diff mime.conf.org mime.conf
218c218
< #AddHandler cgi-script .cgi
---
> AddHandler cgi-script .cgi
244c244
< AddOutputFilter INCLUDES .shtml
---
> AddOutputFilter INCLUDES .shtml .html
  • 拡張子が.cgiならばCGIスクリプトとして処理する
  • SSIを有効にする拡張子として、.shtml と .htmlを指定する

Digest認証を有効にする

Digest認証を利用するためには、auth_digestモジュールを有効化する必要がある。

% sudo a2enmod auth_digest
% sudo systemctl restart apache2

関連:Apache 2.4のアクセス制御記述例メモ - 発声練習