nadare.net保守日記

ここはyamagが {powder|white|tdiary}.nadare.netと自宅のLinuxBoxをいぢくった時のメモを書いておく場所なので、見てもつまんないと思いまっせ ;-)

ツッコミランキング1.がうやん(3) 2.やまぐち(2)

Thu Apr 18, 2019 [長年日記]

#1 [Linux] fail2ban 設定

https化のためにreverse proxy用の仮想サーバを構築しましたが、sshやSMTP-AUTHに対するBrute Force Attackが多いので、fail2banで防御することにしました。

で、手っ取り早く yum を使って epel から install。fail2ban.local と jail.local を作って起動してみましたが、fail2ban-client status で見ると不審な IP アドレスが記録されているのに、その IP アドレスからのアクセスがブロックされている気配がありません。

どうなっているのかと思ってググってみたところ、fail2ban と firewalld の組み合わせで、banaction に firewallcmd-ipset を使うと上手く動作しないという記事を見つけました。

この記事に従って、firewall-cmd-ipset-new を作ってみましたが、今度は ipset add コマンドの実行で、name: No such file or directory というエラーが出てしまいます。firewall-cmd-ipset-new の中で ipset add fail2ban-<name> と定義していて、<name> の部分が置き換わるはずなのに、それが置き換わらずにそのまま実行されてエラーになっているようでした。

どうすれば良いのか良くわからなかったのですが、jail.local の banaction を定義する際、name を指定したら正常に動作するようになりました。

あと、blocktype は firewall の zone に展開されるので、既存の drop zone に設定されるように定義しました。

以下に設定情報を載せておきます。

  • fail2ban.local
    [Definition]
    loglevel = NOTICE
    
  • jail.local
    [DEFAULT]
    bantime = 3600
    destemail = yamag@nadare.net
    sender = fail2ban@nadare.net
    mta = postfix
     
    [sshd] 
    enabled = true
    bantime = 3600
    banaction = firewallcmd-ipset-new[name=sshd, bantime=3600]
                sendmail-whois[name=SSH, dest=yamag@nadare.net, sender=fail2ban@nadare.net, sendername="fail2ban"]
     
    [postfix-sasl] 
    enabled = true
    bantime = 3600
    banaction = firewallcmd-ipset-new[name=postfix-sasl, bantime=3600]
                sendmail-whois[name=SMTP, dest=yamag@nadare.net, sender=fail2ban@nadare.net, sendername="fail2ban"]
     
    [recidive] 
    enabled = true
    banaction = firewallcmd-ipset-new[name=recidive, bantime=604800]
    
  • action.d/firewallcmd-ipset-new.conf
    [INCLUDES]
     
    before =
     
    [Definition]
     
    # actionstart = ipset create fail2ban-<name> hash:ip timeout <bantime>
    actionstart = firewall-cmd --permanent --new-ipset=fail2ban-<name> --type=hash:ip --option=timeout=<bantime>
                  firewall-cmd --permanent --zone=<blocktype> --add-source=ipset:fail2ban-<name>
                  firewall-cmd --reload
     
    actionstop = firewall-cmd --permanent --zone=<blocktype> --remove-source=ipset=fail2ban-<name>
                 firewall-cmd --permanent --delete-ipset=fail2ban-<name>
                 firewall-cmd --reload
                 ipset flush fail2ban-<name>
                 ipset destroy fail2ban-<name>
     
    actionban = ipset add fail2ban-<name> <ip> timeout <bantime> -exist
     
    actionunban = ipset del fail2ban-<name> <ip> -exist
     
    [Init] 
    blocktype = drop
    

    (追記) firewallの設定は、次のようになります。

    [root@rt1 ~]# firewall-cmd --info-zone=drop
    drop (active)
      target: DROP
      icmp-block-inversion: no
      interfaces: 
      sources: ipset:fail2ban-postfix-sasl ipset:fail2ban-sshd ipset:fail2ban-recidive
      services: 
      ports: 
      protocols: 
      masquerade: no
      forward-ports: 
      source-ports: 
      icmp-blocks: 
      rich rules: 
    	
    [root@rt1 ~]# firewall-cmd --info-ipset=fail2ban-sshd
    fail2ban-sshd
      type: hash:ip
      options: timeout=3600
      entries: 
    [root@rt1 ~]# firewall-cmd --info-ipset=fail2ban-postfix-sasl
    fail2ban-postfix-sasl
      type: hash:ip
      options: timeout=3600
      entries: 
    [root@rt1 ~]# firewall-cmd --info-ipset=fail2ban-recidive
    fail2ban-recidive
      type: hash:ip
      options: timeout=604800
      entries: 
    [root@rt1 ~]# 
    

Sat Apr 13, 2019 [長年日記]

#1 [nadare.net] https化

今更ですがhttps化を考えています。

Let's Encryptが無償でサーバ証明書を配布していて、これを使えばhttps化できるはずなのです。

だがしかし、nadare.netが動いているプラットフォームが古すぎて、証明書自動更新手順に上手く載せられないという問題があって、これをどう克服するかが問題です。

などと書きましたが、証明書自動更新手順が動作するプラットフォーム上でサーバ証明書を載せたリバースプロキシを動かし、その後段に今のサーバを隠してしまえば問題は解決すると考えています。まぁそれに付随して、pptpクライアントやDNSサーバもリバースプロキシ側に移動しないとダメなのですが。

ということで、nadare.net, ぱうもんアンテナ、ぱうもん日記アクセスの際、アドレスバーが緑になったら上手くいったな、と思って下さい。

本日のツッコミ(全5件) [ツッコミを入れる]

1 がうやん [どもです。https になって鍵マークが出ますが,日記の更新時に「500 Internal Server Error..]

2 やまぐち [>がうやん tdiaryのURL定義がhttpになっているのが原因でした。リクエストをhttpで受けることを期待して..]

3 がうやん [更新できました。 (^^v nadare.net の方もちゃんと表示されてます... あれ?昨日は何かおかしかったの..]

4 がうやん [どもです。そう言えば ぱうもんアンテナ に日記を更新した事が反映されない模様... リンク先の URL が http..]

5 やまぐち [報告有難う御座います。 調べたところ、アンテナ更新プログラムがhttpsを拒否していました。 なので、アンテナ更..]


Sun Apr 07, 2019 [長年日記]

#1 [映画] バイス

20190407_0

なんか面白そうだったので観てきましたが、ブラック・クランズマンの方が面白かったと思います。

ポイントで観るべきはこっちの方だったかな。


Sun Mar 31, 2019 [長年日記]

#1 [映画] ブラック・クランズマン

20190331_0

潜入捜査モノということだったので、ギャグ映画だと思っていましたが、さにあらず。アメリカの人種差別問題が題材でした。

良い映画でした。

ポイントを使ってタダで観ましたが、お金払っても良かったかな。


Sat Mar 30, 2019 [長年日記]

#1 [] 中山法華経寺

20190330_0 20190330_1 20190330_2

仕事で東京と札幌を往復していると季節感覚がおかしくなり、既に桜が咲いているということをすっかり忘れていました。

そんなわけで近所の中山法華経寺で桜を見てきました。


Sat Mar 16, 2019 [長年日記]

#1 [滑雪] 3回目

20190316_0 20190316_1 20190316_2

今シーズン3回目のスキーは、再び野沢温泉です。

3月中旬ということもあり、雪質は期待していませんでしたが、ちょうど寒気が入ってきたらしく、とても良いコンディションでした。


Sat Mar 02, 2019 [長年日記]

#1 [映画] ファースト・マン

20190302_0

札幌の仕事が忙しくて映画を観る時間が無かったのですが、そろそろ終了するということに気付いて観てきました。

アポロ計画の月着陸が題材ということで、勝手にサイエンスドキュメンタリーと考えていましたが、そうでは無く、ヒューマンドキュメンタリーでした。


2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|04|05|06|07|08|09|10|11|12|
2012|01|02|03|04|05|06|07|08|09|10|11|12|
2013|01|02|03|04|05|06|07|08|09|10|11|12|
2014|01|02|03|04|05|06|07|08|09|10|11|12|
2015|01|03|04|05|06|07|08|09|10|11|12|
2016|01|02|03|04|05|06|07|08|09|10|11|12|
2017|01|02|03|04|05|06|07|08|09|10|11|12|
2018|01|02|03|04|07|08|09|10|11|12|
2019|01|02|03|04|