"pam_af" というPAM モジュールを利用してsshd へのブルートフォース攻撃を遮断する、という記事があったので自分のRHL9 環境に入れてみようと思ったのだけど上手くいかず、かわりに"pam_abl" というのを入れたのでそのメモ。
まずは、"pam_af" のインストール失敗メモ。
- Stanislav Sedov's homepage
http://mbsd.msk.ru/pam_af.html - Anti brute-force protection PAM module - えふきむ日誌 (2006-05-17)
http://www.fkimura.com/diary/?date=20060517#p01 - しすろぐ : PAM モジュールを使った SSH の brute-force 対策
http://www.fuji3.info/Hanamogera/PBLOG/article.php?id=754
お決まりの"make" → "make install" でエラーが出たので、下の記事を参考にしてソースファイル内の"ndbm.h" を全て"gdbm/ndbm.h" に書き換えたのだけど結局エラーが消えず、これ以上の追求をするスキルもないのでここで終了。
- Neohapsis Archives - PAM list - #0071 - Re: anti-bruteforce PAM module
http://archives.neohapsis.com/archives/pam-list/2005-10/0071.html
かわりに"pam_abl" を入れてみます。
- Hexten » pam_abl
http://www.hexten.net/pam_abl/ - The Auto Blacklist Module: pam_abl
http://www.hexten.net/assets/pam_abl_doc/index.html - TikiWiki : Pam_AutoBlackList Package for Centos4/RHEL4
http://www.jackal-net.at/tiki-read_article.php?articleId=24
Centos4/RHEL4 用のSRPM があったのでSPEC ファイル内の
BuildRequires: db4-devel >= 4.0
BuildRequires: pam-devel >= 0.75
Requires: pam >= 0.75
Requires: db4 >= 4.0
をコメントして無理やりビルドしてみた。たぶん大丈夫っぽい。
設定は"/etc/security/pam_abl.conf" で。とりあえずまだ設定確認中なので設定公開は控える方向で。たぶんデフォルト設定でもそれなりに動くと思う。
あと、マニュアルに従って"/etc/pam.d/sshd" に以下の記述を追加。
auth required pam_env.so
auth required pam_abl.so config=/etc/security/pam_abl.conf
auth sufficient pam_unix.so likeauth nullok
auth required pam_deny.so
"/etc/rc.d/init.d/sshd" でsshd を再起動。こんなんでいいんだろうか?
引っかかったホストの情報は"/sbin/pam_abl -rv /etc/security/pam_abl.conf" で確認できるようです。
ちゃんと動いてるかどうかも含め、しばらく様子見。
(2006/06/01 20:41 追記)
なんかちゃんと動いてない気がする…。設定見直さなければ。
同種のツール紹介まとめ。
- しすろぐ : brute-force atack 対策ツール(個人的なまとめ)
http://www.fuji3.info/Hanamogera/PBLOG/article.php?id=761