本コラムは、GMOクラウド株式会社の特設サイトに掲載されている「GMOクラウドアカデミー ~あなたの興味が知識に変わる」より転載したものです。GMOクラウドアカデミーは、クラウド・ホスティングの「悩み」「問題」「課題」の解決を目的に、現場の声を集約した「生きた」コンテンツを提供します。
こんにちは。GMOクラウドの宇野です。 今回はPleskのファイアーウォール機能をより有効活用できるIP アドレス禁止(Fail2ban)について、ご紹介いたします。
Ⅰ.セキュリティ設定はもう十分!?
Ⅱ.IP アドレス禁止(Fail2ban)設定手順
Ⅲ.IP アドレス禁止(Fail2ban)稼働状況確認と例外許可の設定方法
Ⅳ.おわりに
Ⅰ.セキュリティ設定はもう十分!?
このシリーズではPleskで設定できるセキュリティ機能としてファイアーウォールとセキュリティポリシーの設定についてご紹介してきました。これらを設定することで、よりセキュアな環境の構築が可能となります。しかし、それだけで十分でしょうか・・・?
パスワードはいくら強固なものを設定しても、絶対に破られないと言い切ることはできません。悪意ある第三者はFTPやSSHに総当たり攻撃するプログラムを使い、何千回、何万回とログイン試行し、パスワードを破ろうとします。何度でもログインを試すことができれば、いずれは成功してしまいます。
「そんな攻撃されるのって超有名サイトだけでしょ?ウチは関係ない!」なんて思っている方もいらっしゃいますが他人事ではありません。第三者は他のサーバーを攻撃するための踏み台にできる、脆弱なサーバーを手当たり次第、探しています。ネットワークに接続されている以上、攻撃の標的なのです。
Plesk12では非常に便利なソフトウェア「Fail2ban」が標準搭載されました。「Fail2ban」は特定の拠点から複数回ログインしようとした場合、不正ログインとして通信を一定期間ブロックできる機能です。あらかじめアクセス元の拠点が限られている場合、ファイアーウォールでルールを設定できますが、緊急時に拠点外からアクセスする必要があるなど、運用面から厳しいルールを設定できない場合もあります。このような場合に「Fail2ban」は非常に有効で簡単にサーバーを守ることができるソフトウェアですので、早速設定してみましょう
Ⅱ. IPアドレス禁止(Fail2ban)設定手順
1.Plesk管理画面へログインし、IP アドレス禁止設定画面を開きます。
[Pleskログイン] ⇒ [ツールと設定] ⇒ [IP アドレス禁止(Fail2ban)]
2.ルール(jail)に関係なく接続を許可したいIPアドレスを設定します。
会社の拠点のグローバルIPアドレスを登録しておけば、そのIPアドレスからは何度間違ったパスワードでログインしようとしても、この機能で制限されることはありません。登録しておきましょう。
[信頼できるIPアドレス]タブ ⇒ [信頼できるIPアドレスを追加] ⇒ IPアドレス欄に接続元(拠点)のIPアドレスを入力します。
接続元(拠点)のIPアドレスが分からない場合は、ご利用のネットワークの管理者にご確認ください。動的IPをご利用の場合は、IPアドレスが変更されるごとにこの設定を変更することや、次の設定で検知する失敗回数を変更することもご検討ください。もし、インターネットプロバイダが付与するIPアドレスの範囲を教えてもらえれば、それを設定することも一案です。
3.IP アドレス禁止(Fail2ban)を有効にします。
[設定]タブ ⇒ [侵入検知を有効化]にチェック
4.jailを設定します。
jailではどのログにどのような文字列が存在したら、検知の対象になるかなど具体的な接続禁止のルールを設定することができます。Pleskではいくつかjailが提供されておりますので、早速使ってみましょう。
[jail]タブを選択 ⇒ リストの一番上のチェックボックスをON ⇒ [オンにする]を選択
Ⅲ.IP アドレス禁止(Fail2ban)稼働状況確認と例外許可の設定方法
1.IP アドレス禁止(Fail2ban)の稼働状況(ログ)を確認します。
[Pleskログイン] ⇒ [ツールと設定]⇒ [IP アドレス禁止(Fail2ban)]⇒ ログ ⇒ リストにあるファイル名を選択
テキストファイルがダウンロードされますので、メモ帳などで開きましょう。どのjailによって通信を制限したか確認できます。もしログが無ければ、別途設定しているファイアーウォールなどが有効に機能しているか、本機能が動作していない可能性があります。確認してみてください。また、「急に接続できなくなったんだけど・・・」と問い合わせをユーザーから受けたら、本機能で制限されている可能性があります。接続元のIPアドレスを聞き、上記のログにあるか確認しましょう。ログに拒否した履歴があれば、本機能の仕業ですので、該当IPアドレスを信頼できるIPアドレスに登録することを検討してください。
2.接続を許可したいIPアドレスを登録します。
[信頼できるIPアドレス]タブ ⇒ [信頼できるIPアドレスを追加] ⇒ IPアドレス欄に接続元(拠点)のIPアドレスを入力します
Ⅳ.おわりに
いかがでしたか?設定はできましたでしょうか。「Fail2ban」ではIPアドレスを禁止するルールや、ルールによって検知された際の挙動をjailごとに設定することが可能です。この記事では取り扱いませんが、Pleskのガイドに初期で提供されているjailの詳細や挙動のカスタマイズについて説明があります。運用方針に合わせてご活用ください。
※上記は一例であり、お客さまごとのニーズを踏まえた内容ではありません。また本設定を行うことによりご利用サーバーのセキュリティを担保するものではありません。設定は内容を十分に吟味して行ってください。
※ご利用のプランやPleskのライセンス等により、表記や手順が異なる場合があります。
※サポート窓口ではPlesk上での設定方法についてのみご案内を行っており、jailの内容やカスタマイズ方法など、Fail2banそのものの機能に関するご案内は行っておりません。ご不明な場合は関連の情報をご確認ください。
※ご紹介した設定を行ったことによる不都合について弊社では責任を負いかねます。
この記事を書いた人 GMOクラウド 宇野 GMOクラウド株式会社お客さまサービス部所属。
2007年に同社へ入社後、技術部に配属。社内インフラ業務に従事。
現在はお客さまサービス部に所属し、お客さまに代わってサーバ設定や調査を行う設定代行サービスを担当。お客さまの悩みを解決するため日々奮闘しています。
NO BEER NO LIFE。 GMOクラウド 宇野の記事一覧
本コラムは、GMOクラウド株式会社の特設サイトに掲載されている「GMOクラウドアカデミー ~あなたの興味が知識に変わる」より転載したものです。GMOクラウドアカデミーは、クラウド・ホスティングの「悩み」「問題」「課題」の解決を目的に、現場の声を集約した「生きた」コンテンツを提供します。